挖礦木馬4SHMiner利用漏洞針對云服務器攻擊，已控制約1.5萬臺服務器挖礦_PAS

11月18日，騰訊安全威脅情報中心表示，騰訊主機安全捕獲到挖礦木馬4SHMiner利用ApacheShiro反序列化漏洞CVE-2016-4437針對云服務器的攻擊行動。4SHMiner挖礦團伙入侵成功后會執行命令下載4.sh，然后下載XMRig挖礦木馬并通過Linuxservice、systemctl服務，系統配置文件$HOME/.profile，crontab定時任務等實現持久化運行。通過其使用的門羅幣錢包算力(約333KH/s)進行推算，4SHMiner挖礦木馬團伙已控制約1.5萬臺服務器進行挖礦，根據算力突變數據可知其在2020.11.16至17日一天之內就新增感染近1萬臺機器。安全專家建議企業及時檢查服務器是否部署了低于1.2.5版本的ApacheShiro，并將其升級到1.2.5及以上版本。

攻擊者利用Hadoop Yarn REST API未授權漏洞攻擊云主機，安裝挖礦木馬等:騰訊安全威脅情報中心檢測到有攻擊者利用Hadoop Yarn REST API未授權命令執行漏洞攻擊云上主機，攻擊成功后執行惡意命令，向系統植入挖礦木馬、IRC BotNet后門、DDoS攻擊木馬，入侵成功后還會使用SSH爆破的方式進一步向目標網絡橫向擴散。

攻擊者入侵成功后，會清理系統進程和文件，以清除其他資源占用較高的進程（可能是可疑挖礦木馬，也可能是正常服務），以便最大化利用系統資源。入侵者同時會配置免密登錄后門，以方便進行遠程控制，入侵者安裝的IRC后門、DDoS木馬具備完整的目標掃描、下載惡意軟件、執行任意命令和對特定目標進行網絡攻擊的能力。

通過對木馬家族進行關聯分析，發現本次攻擊活動與永恒之藍下載器木馬關聯度極高，攻擊者使用的攻擊套件與Outlaw僵尸網絡木馬高度一致，但尚不能肯定攻擊活動由這兩個團伙發起。

本次攻擊具有蠕蟲式的擴散傳播能力，可下載安裝后門、執行任意命令，發起DDoS攻擊，對受害單位網絡信息系統安全構成嚴重影響。建議用戶盡快修復Hadoop Yarn REST API未授權命令執行漏洞，避免采用弱口令，采用騰訊安全的技術方案檢測系統，清除威脅。[2021/1/28 14:14:13]

分析 | 騰訊御見：上半年挖礦木馬日均新增6萬個樣本:騰訊御見威脅情報中心今日發文稱，隨著比特幣的飆升，推動整個數字加密貨幣價格回升，與幣市密切相關的挖礦木馬開始新一輪活躍。挖礦木馬通過完成大量計算，來獲得數字加密貨幣系統的“貨幣”獎勵。在年初到3月份，挖礦木馬最活躍，日產生挖礦木馬樣本在15萬個左右；4月開始有所下降，到五月六月保持在日產生樣本6萬個左右。挖礦木馬在數字虛擬幣升溫的時候會極速膨脹，在數字虛擬幣遇冷時，也會緩慢降溫。挖礦木馬樣本的總規模在所有病木馬種類中占據較大比例，是近年來最常見的病類型。從2019年上半年的挖礦木馬事件中發現，雖然新的挖礦木馬家族出現數量不及2018年，但是某些家族出現了快速、持續更新版本的現象，這表明黑產人員并不是著眼于做“一錘子”買賣，而是轉向持續運營和改進木馬、快速迭代的思路。騰訊御見觀察到挖礦木馬的功能設計越來越復雜，在隱藏手法、攻擊手法方面不斷創新，與殺軟廠商的技術對抗不斷增強。因此，騰訊御見威脅情報中心認為2019年下半年大型已知的挖礦木馬家族仍會持續出現變種，而新的挖礦木馬也會不斷出現。[2019/7/11]

分析 | 數字虛擬幣交易升溫 “匿影”挖礦木馬再度活躍:4月12日，騰訊御見發文稱，近期數字加密貨幣市場有所回暖，挖礦木馬正在重新變得活躍。最新的監測又有新發現：”匿影”挖礦木馬已于近期升級，木馬團伙更新多個域名、簡化攻擊流程、啟用最新的挖礦賬戶挖PASC幣。“匿影”挖礦木馬通過多個網盤和圖床隱藏自身，使用NSA武器庫的多個攻擊工具（如，永恒之藍）在局域網內主動橫向傳播。 “匿影”挖礦木馬挖取PASC幣（pascal coin），與其他數字加密貨幣不同的是，其他幣種會把幣存在錢包上，而PASC幣引入了賬號的概念叫PASA，而賬號是通過挖礦產生的，每發掘一個區塊則會產生5個賬號，幣就存放在第一個賬號上面，賬號序號是從0開始的，PASC幣總計發行21144600枚。當前PASC價格只有0.3美元，相比最高時的5.63美元，已經跌去95%，如果不是本次幣圈再次升溫，說不定已化身歸零幣。[2019/4/12]

Tags：PASPASCASC加密貨幣PASC價格pasc幣交易所Ascendex交易所加密貨幣和數字貨幣的區別是什么

火星幣