研究人员发现,一种名为Lucifer的新型恶意软件可以在受感染的设备上挖掘Monero加密货币,然后利用受害者的设备发起DDoS攻击。PaloAltoNetworks的42名研究人员发现了一种新的“混合加密劫持恶意软件”,他们想将其称为SatanDDoS,但由于SatanRansomware已经存在,PaloAlto研究人员选择将其命名为Lucifer。Lucifer恶意软件能够发起DDoS攻击,并可以利用各种系统常见的自然漏洞来攻击易受攻击的Windows主机,其中大多数被评为“高”或“严重”。第一波活动于2020年6月10日被PaloAltoNetworks阻止,但攻击者在第二天使用升级版Lucifer恶意软件继续攻击,通过挖掘加密货币并使用受害者作为肉鸡发起活动。激烈的DDoS攻击,简而言之,它们的破坏力是非常强的。PaloAltoNetworks的研究人员观察到,Lucifer的新变种非常强大,因为它通过转储XMRig来挖掘Monero加密货币来执行加密劫持,连接到C&C服务器,并通过利用多个漏洞启动凭证实施。实现自我繁殖。Lucifer是加密劫持和DDoS恶意软件变体的新混合体,它利用旧漏洞在Windows平台上传播和执行恶意活动。此外,它还可以删除/运行泄露的NSA漏洞利用程序,包括DoublePulsar、EternalBlue和EternalRomance,以防止易受攻击的设备感染内网。一旦被利用,攻击者可以在易受攻击的设备上执行任意命令。在这种情况下,目标是网络中可用的Windows主机,因为攻击者正在利用负载中的certutil程序来分发恶意软件。’研究人员在一篇博客文章中说。NSA实际使用(截图):目标安全漏洞有CVE-2014-6287、CVE-2018-1000861、CVE-2017-10271、CVE-2018-20062、CVE-2018-7600、CVE-2017-9791、CVE-2019-9081、PHPStudy后门RCE、CVE-2017-0144、CVE-2017-0145和CVE-2017-8464。虽然解决这些问题的软件更新已经发布了一段时间,但许多系统仍未打补丁,并且面临攻击风险,黑客成功利用这些漏洞可能允许在目标计算机上执行代码。该恶意软件包含三个资源部分,每个部分包含一个用于特定目的的二进制文件:XMRig5.5.0的x86和x64UPX压缩版本,以及EquationGroup漏洞(EternalBlue和EternalRomance,以及DoublePulsar后门植入物)。此恶意软件更新与其之前的版本具有相同的行为,但具有额外的反沙盒功能,可渗透受感染主机的用户和计算机名称、特定设备驱动程序的存在、基于预定义列表的DLL和虚拟设备,如果匹配被发现,操作暂停。它还具有反调试器功能。好消息是它们无法攻击针对新安全漏洞打补丁的Windows系统,这意味着未更新的主机容易受到加密劫持。研究人员敦促用户立即应用最新的补丁和更新来保护他们的设备。
