挖矿木马4SHMiner利用漏洞针对云服务器攻击，已控制约1.5万台服务器挖矿

11月18日，腾讯安全威胁情报中心表示，腾讯主机安全捕获到挖矿木马4SHMiner利用ApacheShiro反序列化漏洞CVE-2016-4437针对云服务器的攻击行动。4SHMiner挖矿团伙入侵成功后会执行命令下载4.sh，然后下载XMRig挖矿木马并通过Linuxservice、systemctl服务，系统配置文件$HOME/.profile，crontab定时任务等实现持久化运行。通过其使用的门罗币钱包算力(约333KH/s)进行推算，4SHMiner挖矿木马团伙已控制约1.5万台服务器进行挖矿，根据算力突变数据可知其在2020.11.16至17日一天之内就新增感染近1万台机器。安全专家建议企业及时检查服务器是否部署了低于1.2.5版本的ApacheShiro，并将其升级到1.2.5及以上版本。

腾讯主机安全（云镜）捕获新挖矿木马LoggerMiner，可感染Docker容器:腾讯主机安全（云镜）捕获一个新的挖矿木马LoggerMiner，该木马在云上主机中攻击传播，会利用当前主机上的ssh账号信息对其他主机发起攻击，以控制更多系统。并且，LoggerMiner还会尝试对当前主机上的docker容器进行感染。

该木马代码中大量使用了logger字符串作为系统账号名、文件路径、通信域名等。腾讯安全团队据此将其命名为“LoggerMiner”挖矿木马。该木马存在多个模块具备以下恶意行为：利用ssh爆破感染其他云主机、修改ssh配置，关闭安全设置，留置后门，方便攻击者远程登录；向docker容器发送恶意命令，进行感染；木马的部分攻击代码尚未完工。木马还会尝试卸载云服务器安全软件、结束竞品挖矿木马进程、停止系统日志、修改系统安全设置，删除其他竞品挖矿木马创建的帐户、添加自己的新帐号，安装定时任务实现持久化等功能。（腾讯安全威胁情报中心）[2020/11/16 20:57:40]

挖矿木马SysupdataMiner利用漏洞攻击Windows、Linux:腾讯御见威胁情报中心今日发文称，近期腾讯安全威胁情报中心检测到一例跨平台挖矿木马SysupdataMiner。该挖矿木马利用SSH免密登录的漏洞在内网传播，然后利用扫描工具扫描外网Redis服务器并进行弱口令爆破攻击。在感染的机器上，SysupdataMiner会检测阿里云骑士和腾讯云镜并进行卸载，会通过多种特征检测其他挖矿木马并进行清除，然后下载门罗币挖矿木马sysupdata并启动SysupdataMiner具有针对Windows系统和Linux系统进行攻击的两套脚本和木马文件，可进行跨平台攻击。[2020/3/8]

动态 | 挖矿木马病一度感染20万台电脑:日前，腾讯电脑管家高级安全专家李铁军向媒体披露了一起涉及挖矿木马病的案例。2017年年底，腾讯电脑管家曾发现一款名为“tlMiner”的挖矿木马的传播量达到峰值，12月20日当天有近20万台机器受到该挖矿木马影响，并发现“tlMiner”挖矿木马瞄准游戏玩家及网吧高配电脑，搭建挖矿集群。腾讯及时将该案线索提供给山东，协助于今年4月11日破获此案。[2018/7/21]

标签：MINMINERNERMINEMintbaseeminerSafeEnergyBitcoMine

聚币热门资讯