腾讯御见：WatchBogMiner变种挖矿木马已挖到28个门罗币

腾讯安全威胁情报中心检测到针对Linux服务器进行攻击的WatchBogMiner变种挖矿木马。该木马利用Nexus Repository Manager、Supervisord、ThinkPHP等服务器组件的远程代码执行漏洞进行攻击，在失陷机器安装多种类型的持久化攻击代码，然后植入门罗币挖矿木马进行挖矿。腾讯安全专家根据木马使用的算力资源推测已有上万台Linux服务器被黑客控制，已挖到28个门罗币，收益约1.3万元。

相关快讯：

声音 | 腾讯御见：挖矿资源争夺加剧，WannaMine多种手法驱赶竞争者:腾讯御见威胁情报中心今日发文表示，腾讯安全御见威胁情报中心检测到WannaMine挖矿僵尸网络再度更新，WannaMine最早于2017年底被发现，主要采用Powershell“无文件”攻击组成挖矿僵尸网络。更新后的WannaMine具有更强的传播性，会采用多种手法清理、阻止竞争木马的挖矿行为，同时安装远控木马完全控制中系统。更新后的WannaMine病具有以下特点：

1.利用“永恒之蓝”漏洞攻击传播；

2.利用mimiktaz抓取域登录密码结合WMI的远程执行功能在内网横向移动；

3.通过添加IP策略阻止本机连接对手木马的47个矿池，阻止其他病通过“永恒之蓝”漏洞入侵；

4.添加计划任务，WMI事件消费者进行持久化攻击，删除“MyKings”病的WMI后门；

5.利用COM组件注册程序regsvr32执行恶意脚本；

6.利用WMIClass存取恶意代码；

7.在感染机器下载Gh0st远控木马conhernece.exe和门罗币挖矿木马steam.exe。[2020/1/7]

动态 | 腾讯御见：京广多地超2万台电脑被挖矿 攻击者利用永恒之蓝漏洞横向扩散:腾讯御见威胁情报中心检测到挖矿木马家族Lcy2Miner感染量上升，工程师对该病的感染进行回溯调查。结果发现，有攻击者搭建多个HFS服务器提供木马下载，并在其服务器web页面构造IE漏洞（CVE-2014-6332）攻击代码。当存在漏洞的电脑被诱访问攻击网页时，会触发漏洞下载大灰狼远程控制木马。接着由远控木马下载门罗币挖矿木马和“永恒之蓝”漏洞攻击模块，然后利用“永恒之蓝”漏洞攻击工具在企业内网攻击传播，最终攻击者通过组建僵尸网络挖矿牟利。

截止目前该团伙已通过挖矿获得门罗币147个，市值约6.5万元人民币。数据显示，该团伙控制的Lcy2Miner挖矿木马已感染超过2万台电脑，影响众多行业，互联网服务、批发零售业、科技服务业位居前三。从病感染的地区分布来看，Lcy2Miner挖矿木马在全国大部分地区均有感染，受害最严重的地区为北京、广东、河南等地。[2019/11/7]

动态 | 腾讯御见：ERIS勒索病变种来袭 勒索0.05BTC:腾讯安全御见威胁情报中心监测到，ERIS勒索病变种在国内有部分感染。ERIS勒索变种使用go语言编写，加密文件完成后会添加5字节的随机扩展后缀。病加密用户数据之后勒索0.05比特币（市值约4000元人民币）。由于该病使用RSA+Salsa20对文件进行加密，被加密后的文件暂时无法解密。ERIS勒索病为防止用户利用反删除工具恢复文件，该病会调用磁盘擦除工具cipher.exe将病完成数据加密后删除的原文件彻底破坏，我们提醒政企机构高度警惕。目前，腾讯电脑管家、腾讯御点终端安全管理系统均可拦截该病。[2019/8/8]

相关资讯