加密货币挖矿僵尸网络对公司的Windows和Linux服务器造成严重破坏使用自我传播的恶意软件负载感染Monero矿工(XMRig)。该僵尸网络于2020年12月开始活跃,并于今年2月首次被阿里云安全研究人员发现。僵尸网络在3月份的活动激增,引起了LaceworkLabs和JuniperThreatLabs安全研究人员的注意。最初,Sysrv-hello僵尸网络使用带有矿工和蠕虫(传播者)模块的多组件架构,后来升级为使用能够自动将挖矿恶意软件传播到其他设备的单个二进制文件。Sysrv-hello的传播器组件会主动扫描Internet以查找更易受攻击的系统,利用其漏洞远程执行恶意代码并将受害设备添加到门罗币挖矿机器人大军中。Lacework发现,攻击者“通过在PHPUnit、ApacheSolar、Confluence、Laravel、JBoss、Jira、Sonatype、OracleWebLogic和ApacheStruts中注入远程代码执行漏洞来瞄准云工作负载以获得初始访问权限”。Lacework补充说:“横向移动是通过受害机器上可用的SSH密钥以及从bash历史文件、SSH配置文件和known_hosts文件中识别的主机执行的。《Sysrv-hello攻击过程来源:Sysrv-hello针对的Lacework漏洞在3月份Sysrv-hello僵尸网络活动激增后,Juniper发现了六个被主动攻击的恶意软件样本所利用的漏洞:MongoExpressRCE(CVE-2019-10758)XML-RPC(CVE-2017-11610)SaltstackRCE(CVE-2020-16846)DrupalAjaxRCE(CVE-2018-7600)ThinkPHPRCE(noCVE)XXL-JOBUnauthRCE(noCVE)僵尸网络过去使用的其他漏洞包括Laravel(CVE-2021-3129)OracleWeblogic(CVE-2020-14882)AtlassianConfluenceServer(CVE-2019-3396)ApacheSolr(CVE-2019-0193)PHPUnit(CVE-2017-9841)Jboss应用服务器(CVE)-2017-12149)SonatypeNexus存储库管理器(CVE-2019-7238)Jenkins暴力破解WordPress通过YARNResourceManager暴力破解ApacheHadoop未经身份验证的命令执行(无CVE)JupyterNotebook命令执行(无CVE)TomcatManager免身份验证上传命令执行(无CVE)授权】点此查看t的更多好文章他作者
