INE:騰訊御見：有攻擊者利用 Hadoop Yarn REST API 未授權漏洞攻擊云主機，安裝挖礦木馬等_MIN

鏈聞消息，騰訊安全威脅情報中心檢測到有攻擊者利用HadoopYarnRESTAPI未授權命令執行漏洞攻擊云上主機，攻擊成功后執行惡意命令，向系統植入挖礦木馬、IRCBotNet后門、DDoS攻擊木馬，入侵成功后還會使用SSH爆破的方式進一步向目標網絡橫向擴散。攻擊者入侵成功后，會清理系統進程和文件，以清除其他資源占用較高的進程，以便最大化利用系統資源。入侵者同時會配置免密登錄后門，以方便進行遠程控制，入侵者安裝的IRC后門、DDoS木馬具備完整的目標掃描、下載惡意軟件、執行任意命令和對特定目標進行網絡攻擊的能力。通過對木馬家族進行關聯分析，發現本次攻擊活動與永恒之藍下載器木馬關聯度極高，攻擊者使用的攻擊套件與Outlaw僵尸網絡木馬高度一致，但尚不能肯定攻擊活動由這兩個團伙發起。建議用戶盡快修復HadoopYarnRESTAPI未授權命令執行漏洞，避免采用弱口令。

騰訊御見：數萬臺MSSQL服務器遭入侵淪為門羅幣礦機:騰訊安全威脅情報中心檢測到針對MSSQL服務器攻擊的挖礦木馬，該挖礦木馬主要針對MS SQL服務進行爆破弱口令攻擊，爆破成功后會植入門羅幣挖礦木馬進行挖礦。從挖礦木馬的HFS服務器計數看，已有上萬臺MSSQL服務器被植入挖礦木馬，另有數十臺服務器被安裝后門。[2020/7/29]

騰訊御見：挖礦僵尸網絡NSAGluptebaMiner利用永恒之藍漏洞傳播:騰訊御見威脅情報中心今日發文警告稱，該中心檢測到挖礦僵尸網絡NSAGluptebaMiner變種正在利用永恒之藍漏洞攻擊傳播。目前該僵尸網絡會控制機器進行門羅幣挖礦和搜集用戶隱私數據，并具有遠程執行命令的功能，同時還會利用比特幣交易數據更新C2。cloudnet.exe原來是Glupteba惡意木馬，Glupteba最早作為Operation Windigo組織用于部署僵尸網絡中的一部分首次出現，2018年6月騰訊安全威脅情報中心發現cloudnet.exe開始作為挖礦僵尸網絡NSAGluptebaMiner的組件傳播。[2020/4/18]

動態 | 騰訊御見：KingMiner礦工已控制上萬服務器:騰訊安全御見威脅情報中心檢測到KingMiner變種攻擊，KingMiner是一種針對Windows服務器MS SQL進行爆破攻擊的門羅幣挖礦木馬。該木馬最早于2018年6月中旬首次出現，并在隨后迅速發布了兩個改進版本。攻擊者采用了多種逃避技術來繞過虛擬機環境和安全檢測，導致一些反病引擎無法準確檢測。當前版本KingMiner具有以下特點：

1. 針對MSSQL進行爆破攻擊入侵；

2. 利用WMI定時器和Windows計劃任務進行持久化攻擊；

3. 關閉存在CVE-2019-0708漏洞機器上RDP服務，防止其他挖礦團伙入侵，以獨占服務器資源挖礦；

4. 使用base64和特定編碼的XML、TXT、PNG文件來加密木馬程序；

5. 利用微軟和多個知名廠商的簽名文件作為父進程，“白+黑”啟動木馬DLL。

根據騰訊安全御見威脅情報中心統計數據，KingMiner影響超過一萬臺電腦，其中受影響最嚴重的地區為廣東、重慶、北京、上海等地。（騰訊御見威脅情報中心 ）[2019/11/26]

Tags：MINEMINMINERINEgoldminer幣在哪個交易交易是跑路幣嗎Gemini女朋友染染多大goldminer幣最新消息coinegg聚幣國際

Luna