NER:騰訊御見：“8220”挖礦木馬入侵服務器挖礦，可發起DDoS攻擊

騰訊安全威脅情報中心檢測到“8220”挖礦木馬變種攻擊。“8220”挖礦團伙擅長利用WebLogic、JBoss反序列化漏洞，Redis、Hadoop未授權訪問漏洞等Web漏洞攻擊服務器挖礦。此外，“8220”挖礦木馬團伙的攻擊目標包括Windows和Linux服務器，在其使用的FTP服務器上，可以發現針對不同操作系統的攻擊模塊。該團伙釋放挖礦木馬時，會檢查服務器是否有其他挖礦木馬運行，將所有競爭挖礦木馬進程結束，以獨占服務器資源。根據代碼的相似性、C2關聯性、挖礦時使用的相同門羅幣錢包以及配置文件解密方法、相似的FTP服務器等因素，騰訊安全專家認為，2020年初出現的StartMiner與“8220”挖礦木馬屬于同一團伙。該團伙當前版本惡意程序與C2服務器的通信已不再使用“8220”端口，根據近期捕獲到的樣本對其攻擊偏好使用的文件名進行總結，發現其具有使用多種腳本包括VBS、PHP、Python、Powershell、Shell進行組合攻擊的特點。

騰訊御見：Linux服務器遭遇挖礦蠕蟲攻擊，數千臺服務器中招:騰訊安全威脅情報中心檢測到H2Miner挖礦蠕蟲變種近期活躍。H2Miner是一個linux下的大型挖礦僵尸網絡，已被發現通過多個高危漏洞入侵Linux系統，并利用漏洞在企業內網或云服務器中橫向擴散，目前已檢測到數千臺服務器中招。[2020/7/30]

騰訊御見：“8220”挖礦木馬入侵服務器挖礦，可發起DDoS攻擊:騰訊安全威脅情報中心檢測到“8220”挖礦木馬變種攻擊。“8220”挖礦團伙擅長利用WebLogic、JBoss反序列化漏洞，Redis、Hadoop未授權訪問漏洞等Web漏洞攻擊服務器挖礦。此外，“8220”挖礦木馬團伙的攻擊目標包括Windows和Linux服務器，在其使用的FTP服務器上，可以發現針對不同操作系統的攻擊模塊。該團伙釋放挖礦木馬時，會檢查服務器是否有其他挖礦木馬運行，將所有競爭挖礦木馬進程結束，以獨占服務器資源。根據代碼的相似性、C2關聯性、挖礦時使用的相同門羅幣錢包以及配置文件解密方法、相似的FTP服務器等因素，騰訊安全專家認為，2020年初出現的StartMiner與“8220”挖礦木馬屬于同一團伙。該團伙當前版本惡意程序與C2服務器的通信已不再使用“8220”端口，根據近期捕獲到的樣本對其攻擊偏好使用的文件名進行總結，發現其具有使用多種腳本包括VBS、PHP、Python、Powershell、Shell進行組合攻擊的特點。[2020/5/9]

聲音 | 騰訊御見：近期醫療相關企業需要特別注意防范勒索病攻擊:騰訊御見威脅情報中心今日發文稱，春節期間，某藥品經營企業遭遇勒索病攻擊，企業多臺服務器被加密，影響業務開展。該藥品經營企業為保證業務進行，被迫繳納酬金，結果僅部分文件恢復。騰訊安全企業應急服務中心對該事件進行調查，發現該企業中的勒索病為GarrantyDecrypt家族的新變種Heronpiston Ransomware。GarrantyDecrypt勒索病家族最早在2018年下半年被發現，該團伙每隔幾個月就會有一次新變種更新發布，先后出現有bigbosshors、nostro、metan、tater等變種。由于采用了RSA+salsa20算法加密，因此一旦被該家族勒索病加密便無法通過第三方解密。目前形式下，醫藥相關企業已社會寶貴的財富，騰訊安全專家建議相關單位，強化網絡安全措施，避免使用弱密碼，防止遭遇勒索病攻擊。（騰訊御見威脅情報中心）[2020/2/6]

Tags：NUXINULINUNERNUX幣Yooshiba InuBULLINU幣Oceans Miner

火必交易所