腾讯御见：“8220”挖矿木马入侵服务器挖矿，可发起DDoS攻击

腾讯安全威胁情报中心检测到“8220”挖矿木马变种攻击。“8220”挖矿团伙擅长利用WebLogic、JBoss反序列化漏洞，Redis、Hadoop未授权访问漏洞等Web漏洞攻击服务器挖矿。此外，“8220”挖矿木马团伙的攻击目标包括Windows和Linux服务器，在其使用的FTP服务器上，可以发现针对不同操作系统的攻击模块。该团伙释放挖矿木马时，会检查服务器是否有其他挖矿木马运行，将所有竞争挖矿木马进程结束，以独占服务器资源。根据代码的相似性、C2关联性、挖矿时使用的相同门罗币钱包以及配置文件解密方法、相似的FTP服务器等因素，腾讯安全专家认为，2020年初出现的StartMiner与“8220”挖矿木马属于同一团伙。该团伙当前版本恶意程序与C2服务器的通信已不再使用“8220”端口，根据近期捕获到的样本对其攻击偏好使用的文件名进行总结，发现其具有使用多种脚本包括VBS、PHP、Python、Powershell、Shell进行组合攻击的特点。

相关快讯：

腾讯御见：警惕BasedMiner挖矿木马爆破SQL弱口令攻击:腾讯安全威胁情报中心检测到针对Windows服务器进行攻击的挖矿木马BasedMiner。该挖矿木马团伙主要针对MS SQL服务进行爆破弱口令攻击，爆破成功后会下载Gh0st远控木马对系统进行控制，还会利用多个Windows漏洞进行提权攻击获得系统最高权限，最后植入门罗币挖矿木马进行挖矿，目前已获利8000元。[2020/7/19]

腾讯御见：“8220”挖矿木马入侵服务器挖矿，可发起DDoS攻击:腾讯安全威胁情报中心检测到“8220”挖矿木马变种攻击。“8220”挖矿团伙擅长利用WebLogic、JBoss反序列化漏洞，Redis、Hadoop未授权访问漏洞等Web漏洞攻击服务器挖矿。此外，“8220”挖矿木马团伙的攻击目标包括Windows和Linux服务器，在其使用的FTP服务器上，可以发现针对不同操作系统的攻击模块。该团伙释放挖矿木马时，会检查服务器是否有其他挖矿木马运行，将所有竞争挖矿木马进程结束，以独占服务器资源。根据代码的相似性、C2关联性、挖矿时使用的相同门罗币钱包以及配置文件解密方法、相似的FTP服务器等因素，腾讯安全专家认为，2020年初出现的StartMiner与“8220”挖矿木马属于同一团伙。该团伙当前版本恶意程序与C2服务器的通信已不再使用“8220”端口，根据近期捕获到的样本对其攻击偏好使用的文件名进行总结，发现其具有使用多种脚本包括VBS、PHP、Python、Powershell、Shell进行组合攻击的特点。[2020/5/9]

腾讯御见：DDG僵尸网络一月升级9个版本攻击Linux系统挖矿:近日，腾讯安全发现DDG僵尸网络频繁更新，在最近最近一个月内总共更新了9个版本攻击Linux系统挖矿。最新版的DDG挖矿木马一大变化是会下载脚本uninstall.sh，quartz_uninstall.sh卸载腾讯云云镜、阿里云安骑士等安全防护产品以增强挖矿木马在服务器的存活时间。据悉，DDG僵尸网络最早出现于2017年， 主要是通过对SSH服务和Redis服务进行扫描暴破入侵LINUX系统挖门罗币获利。（腾讯御见威胁情报中心）[2020/4/1]

相关资讯