腾讯御见威胁情报中心今日发文称,随着比特币的飙升,推动整个数字加密货币价格回升,与币市密切相关的挖矿木马开始新一轮活跃。挖矿木马通过完成大量计算,来获得数字加密货币系统的“货币”奖励。在年初到3月份,挖矿木马最活跃,日产生挖矿木马样本在15万个左右;4月开始有所下降,到五月六月保持在日产生样本6万个左右。挖矿木马在数字虚拟币升温的时候会极速膨胀,在数字虚拟币遇冷时,也会缓慢降温。挖矿木马样本的总规模在所有病木马种类中占据较大比例,是近年来最常见的病类型。从2019年上半年的挖矿木马事件中发现,虽然新的挖矿木马家族出现数量不及2018年,但是某些家族出现了快速、持续更新版本的现象,这表明黑产人员并不是着眼于做“一锤子”买卖,而是转向持续运营和改进木马、快速迭代的思路。腾讯御见观察到挖矿木马的功能设计越来越复杂,在隐藏手法、攻击手法方面不断创新,与杀软厂商的技术对抗不断增强。因此,腾讯御见威胁情报中心认为2019年下半年大型已知的挖矿木马家族仍会持续出现变种,而新的挖矿木马也会不断出现。
声音 | 腾讯御见:“Agwl”团伙通过入侵服务器下载释放“永恒之蓝”漏洞攻击等 进而植入挖矿木马:据腾讯御见威胁情报中心发文称,近日,御见威胁情报中心检测到“Agwl”团伙针对phpStudy网站服务器再度发起攻击,此次攻击“升级”后,被入侵服务器会下载释放“永恒之蓝”漏洞攻击、SQL爆破攻击。爆破攻击成功则通过cmd_shell下载植入木马http[:]//down.us-hack.ru/wk.exe。wk.exe会继续下载挖矿木马及远控木马,同时下载SQL爆破、“永恒之蓝”漏洞利用、Apache Solr漏洞(CVE-2019-0193)利用三种攻击方式进一步扩散传播病。此次受“Agwl”团伙攻击影响超过一万台服务器,影响严重地区分别北京、广东和浙江。据悉,2017年5月12日起,全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。被袭击的设备被锁定,并索要300美元比特币赎金。[2019/9/26]
动态 | 腾讯御见:捕获到一起针对某大型加密货币交易所客服人员的鱼叉式定向攻击:腾讯安全御见威胁情报中心发文称,近日,捕获到一起针对某大型数字加密币交易平台客服人员的鱼叉式定向攻击。攻击者自称为币圈资深用户,由于对该交易平台客服不满,进而对比了该平台与其竞争关系的xx平台,并列出多条建议在邮件附件中,希望该平台做出改进。
邮件附件中包含了一个名为“客服和xx投诉对比和记录2019.xls”的电子表格文件,该文件为攻击诱饵文件,携带Excel 4.0 XLM宏代码,当接收邮件的客服人员打开该文件,且允许执行其中的宏代码,宏代码将拉取一个伪装为HelloWorld的恶意程序执行,最终经过多层恶意代码解密,执行Cobalt Strike远控后门。一旦客服人员机器被成功植入木马,攻击者则可以轻易的获取到交易平台内部信息资料,甚至通过该客服机器作为跳板机,入侵交易所内部核心机密数据,最终导致平台遭受不可预估的损失。最坏的情况下,可能导致交易平台数字虚拟币被盗。[2019/8/29]
动态 | 腾讯御见:严重危害北美地区的Ryuk勒索病传入国内,受害者被勒索11 BTC:7月16日,腾讯御见威胁情报中心发文称,已监测到在北美地区危害严重的Ryuk病在国内已有部分感染。该病的特点之一是倾向于攻击数据价值较高的政企机构,且赎金普遍极高(最近联系作者要价11个比特币,价值约75万元RMB),Ryuk的勒索家族起源于Hermes家族,最早的活跃迹象可追溯到2018年8月。 由于该病使用RSA+AES的方式加密用户文件,暂时无法解密,故提醒各政企机构提高警惕。[2019/7/16]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。