2024年活躍挖礦木馬盤點
時間 : 2025年02月06日
1.概述
挖礦木馬通過各種手段將挖礦程序植入受害者的計算機中,在用戶不知情的情況下,利用受害者計算機的運算能力進行挖礦,從而獲取非法收益。目前已知多個威脅組織(例如,H2Miner、“8220”等)傳播挖礦木馬,致使用戶系統資源被惡意占用和消耗、硬件壽命被縮短,嚴重影響用戶生產生活,妨害國民經濟和社會發展。2024年,安天CERT捕獲了多起挖礦木馬的攻擊活動,現將2024年典型的挖礦木馬梳理形成組織/家族概覽,進行分享。
表1-1 2024年活躍挖礦木馬組織/家族概覽
|
挖礦木馬組織/家族 |
出現時間 |
針對平臺 |
該組織/家族百科詞條 |
|
“8220” |
2017年 |
Windows、Linux |
|
|
Outlaw |
2018年 |
Linux |
|
|
TeamTNT |
2019年10月 |
Linux |
|
|
H2Miner |
2019年12月 |
Windows、Linux |
|
|
Libgcc_a |
2021年8月 |
Windows、Linux |
|
|
Perfctl |
2023年9月 |
Linux |
|
|
“匿鏟“ |
2023年11月 |
Windows |
|
|
RedTail |
2023年12月 |
Linux |
|
2.挖礦木馬的危害
1. 加重信息系統基礎設施資源消耗與運行風險:挖礦木馬普遍消耗信息系統基礎設施的大量資源,使操作系統及其服務、應用軟件運行緩慢,甚至造成正常服務崩潰,產生承載業務中斷、業務數據丟失等一系列負面影響;
2. 危害信息系統基礎設施使用壽命與運行性能:挖礦木馬迫使信息系統基礎設施長時間高負載運行,致使其使用壽命縮短,運行性能嚴重下降;
3. 留置后門,衍生僵尸網絡:挖礦木馬普遍具有添加SSH免密登錄后門、安裝RPC后門,接收遠程IRC服務器指令、安裝Rootkit后門等惡意行為,致使受害組織網絡淪為僵尸網絡;
4. 作為攻擊跳板,攻擊其他目標:挖礦木馬支持攻擊者控制受害者服務器進行DDoS攻擊,以此服務器為跳板,攻擊其他計算機,或者釋放勒索軟件索要贖金等。
3.挖礦木馬趨勢
3.1 BYOVD攻擊成挖礦木馬“新寵”
在2024年的挖礦木馬事件應急響應中,安天CERT發現挖礦木馬利用BYOVD(Bring Your Own Vulnerable Driver)攻擊結束安全軟件進程的案例增多。BYOVD攻擊是APT中常見的攻擊技術,現在挖礦攻擊中也逐漸開始利用這種技術。它利用合法但存在漏洞的驅動程序來執行惡意操作,繞過安全防護措施。驅動程序運行在高權限的內核模式,攻擊者可以通過其漏洞實現多種攻擊目的。在挖礦攻擊中,攻擊者通過濫用合法安全廠商簽名的驅動程序,繞過操作系統的安全機制,為挖礦活動提供支撐。這種手法不僅提升了攻擊的隱蔽性,還利用安全軟件的高權限執行能力,大幅增強了惡意挖礦的資源占用效率。在未來,BYOVD攻擊可能與零日漏洞利用相結合,進一步提高攻擊的復雜性和破壞性。這一趨勢對政企安全提出更高的要求,防護重點應包括驅動程序的合法性檢測與運行時行為監控等。
3.2 暗網礦池地址的興起
2024年,安天CERT在監測挖礦攻擊中發現個別挖礦木馬采用了暗網地址進行挖礦的事件,如Perfctl惡意軟件利用TOR進行挖礦,Outlaw挖礦僵尸網絡在配置文件中添加了暗網地址,但還未開發出tor進行連接。這一趨勢表明,攻擊者正在加速向更隱秘、更難追蹤的挖礦方式轉型,以逃避傳統安全防護和執法行動的打擊。通過Tor網絡或其他匿名通信協議,礦池運營者能夠有效隱藏其真實位置和身份,難以被執法部門定位和取締。暗網礦池普遍采用加密貨幣作為支付手段,結合匿名錢包技術,實現了攻擊收益的完全匿名化。隨著暗網礦池技術的不斷成熟,傳統基于互聯網的挖礦威脅檢測手段將變得無效。政企需調整防護策略,關注挖礦通信的特征分析和暗網流量的異常檢測。
3.3 合理資源分配致用戶難以感知
2024年,挖礦木馬在資源利用上更加智能化,表現為更合理的資源分配策略。如app Miner挖礦木馬會檢查系統環境是否有curl、Python、Perl等工具,如果沒有會進行下載適配,在不同的系統上動態的調整CPU的功率或資源使用參數。Outlaw挖礦僵尸網絡會獲取目標主機的系統架構,根據系統架構調整默認線程數,arm架構線程數設置為75,i686架構線程數設置為325,其他架構默認線程數為475。這種趨勢不僅提升了挖礦效率,還極大地增強了挖礦木馬被發現感知的風險。智能化資源分配根據系統負載動態調整CPU和GPU的使用率,避免引起設備異常或用戶注意。挖礦進程被設計為低優先級任務,在設備閑置時充分利用資源,而在用戶活躍時降低消耗,從而延長挖礦周期。這種智能化資源分配的趨勢使挖礦木馬更具隱蔽性和持續性,成為網絡威脅防護的難點。
活躍挖礦木馬介紹
4.1 “8220”
“8220”是一個長期活躍并且擅長使用漏洞進行攻擊并部署挖礦程序的組織,該組織早期使用Docker鏡像傳播挖礦木馬,后來逐步利用多個漏洞進行攻擊,如WebLogic漏洞、Redis未授權訪問漏洞、Hadoop Yarn未授權訪問漏洞和Apache Struts漏洞等。在2020年發現該組織開始使用SSH暴力破解進行橫向攻擊傳播。自Apache Log4j 2遠程代碼執行漏洞曝光后,該組織利用該漏洞制作漏洞利用腳本進行傳播,影響范圍廣。
4.1.1 組織概覽
表4-1 “8220”挖礦組織介紹
|
組織名稱 |
“8220” |
|
出現時間 |
2017年 |
|
針對平臺 |
Windows、Linux |
|
傳播方式 |
SSH暴力破解、Docker鏡像和漏洞利用 |
|
利用的漏洞 |
Apache Log4j 2遠程代碼執行漏洞 Oracle WebLogic漏洞 Atlassian Confluence漏洞 Redis未授權訪問漏洞 Hadoop Yarn未授權訪問漏洞 Apache Struts漏洞 |
|
挖礦幣種 |
門羅幣(XMR) |
4.1.2 典型案例
● 針對Oracle WebLogic漏洞的攻擊活動分析
Water Sigbin(8220 Gang)是一個專注于部署加密貨幣挖礦惡意軟件的威脅行為者,它積極針對Oracle WebLogic服務器。該威脅行為者利用Oracle WebLogic Server中的漏洞(特別是CVE-2017-3506和CVE-2023-21839)通過PowerShell腳本部署加密貨幣挖礦程序。研究人員分析了用于傳遞PureCrypter加載器和XMRIG加密挖掘器的多階段加載技術。此活動期間使用的所有有效載荷均使用.Net Reactor(一種.NET代碼保護軟件)進行保護,以防止逆向工程。此保護會混淆代碼,使防御者難以理解和復制。此外,它還采用了反調試技術。有效載荷是通過利用CVE-2017-3506來傳遞的[1]。
● 8220挖礦團伙的新玩具:k4spreader
2024年6月17號研究人員發現了一個VT 0檢測的使用c語言編寫的ELF樣本,這個樣本使用變形的upx加殼,脫殼后得到了另一個變形的upx加殼的elf文件,使用cgo的方式編寫。經過分析發現這是來自“8220”挖礦團伙的新工具,用來安裝其他惡意軟件執行,主要是構建Tsunami DDoS僵尸網絡和安裝PwnRig挖礦程序。根據樣本中的函數名稱將其命名為“k4spreader”,進一步分析了VT的和蜜罐的數據后,發現k4spreader尚處于開發階段,但已經出現3個變種[2]。
4.2 Outlaw
Outlaw挖礦僵尸網絡最早于2018年被發現,主要針對云服務器實施挖礦攻擊,持續活躍。疑似來自羅馬尼亞,最早由趨勢科技將其命名為Outlaw,中文譯文為“亡命徒”。該挖礦僵尸網絡首次被發現時,攻擊者使用Perl腳本語言的后門程序構建機器人,因此被命名為“Shellbot”。其主要傳播途徑是SSH暴力破解攻擊目標系統并寫入SSH公鑰,以達到長期控制目標系統的目的,同時下載基于Perl腳本語言編寫的后門和開源門羅幣挖礦木馬。
4.2.1 組織概覽
表4-2 Outlaw挖礦僵尸網絡介紹
|
組織名稱 |
Outlaw |
|
組織介紹 |
一個通過漏洞利用和SSH暴力破解傳播基于Perl語言編寫的Shellbot而組建的僵尸網絡,后期開始投放挖礦木馬獲利 |
|
首次披露時間 |
2018年11月1日 |
|
首次披露廠商 |
趨勢科技 |
|
歸屬國家 |
疑似羅馬尼亞 |
|
命名原因 |
源自羅馬尼亞語haiduc的翻譯,該組織主要使用的黑客工具Haiduc |
|
威脅類型 |
僵尸網絡、挖礦木馬 |
|
針對目標 |
Linux、IoT |
|
傳播途徑 |
Shellshock(CVE-2014-7169)漏洞、Drupalgeddon2漏洞(CVE-2018-7600)漏洞和SSH暴力破解,主要采用后者,漏洞利用只在初期使用過 |
|
組織組件 |
隱藏進程工具(XHide)、SSH暴力破解工具(Haiduc、ps、tsm)、Shellbot程序、挖礦木馬(XMRig) |
|
版本迭代 |
該僵尸網絡樣本共有5個版本迭代,主要區別在于功能的新增,破解工具替換,破解工具功能的變化上 |
4.2.2 典型案例
● Outlaw挖礦僵尸網絡近期活動分析
安天CERT監測到多起Outlaw挖礦僵尸網絡攻擊事件,該挖礦僵尸網絡最早于2018年被發現,主要針對云服務器從事挖礦活動,持續活躍。安天CERT在分析近期的攻擊事件中發現,該挖礦僵尸網絡樣本在第三版本基礎上有了重要更新,其功能更加多樣、隱匿性更高、清除更加困難。主要傳播途徑和功能依舊是SSH暴力破解攻擊目標系統,植入SSH公鑰,以達到長期控制目標系統的目的,同時下載執行基于Perl腳本語言編寫的后門和開源門羅幣挖礦木馬,使用掃描和暴力破解工具對其他主機進行相應攻擊[3]。
4.3 TeamTNT
TeamTNT挖礦組織最早于2019年被發現,主要針對Docker Remote API未授權訪問漏洞、配置錯誤的Kubernetes集群和Redis服務暴力破解進行攻擊。入侵成功后,竊取各類登錄憑證并留下后門,主要利用目標系統資源進行挖礦并組建僵尸網絡。經過近幾年發展,該組織控制的僵尸網絡規模龐大,所使用的攻擊組件更新頻繁,是目前針對Linux服務器進行挖礦的主要攻擊組織之一。該組織疑似來自德國,其命名方式依據該組織最早使用teamtnt.red域名進行命名。
4.3.1 組織概覽
表4-3 TeamTNT挖礦組織介紹
|
組織名稱 |
TeamTNT |
|
首次披露時間 |
2019年10月 |
|
歸屬國家 |
德國 |
|
命名原因 |
最早使用teamtnt.red域名 |
|
威脅類型 |
挖礦木馬、后門 |
|
針對目標 |
JupyterLab、Docker、Kubernetes和Redis |
|
傳播途徑 |
錯誤的配置和SSH憑證等 |
|
組織武器庫 |
Tsunami、Rathole、Ezuri、Punk.py、libprocesshider、tmate、masscan、pnscan、ZGrab、Tiny Shell、Mimipy、BotB、Diamorphine、Docker
Escape Tool等 |
|
組織擅長技術 |
掃描局域網端口、添加防火墻規則、刪除其他競爭對手進程、創建持久性計劃任務、竊取服務憑證、收集機器信息、Rootkit隱藏進程、部署挖礦程序和橫向移動等 |
|
推特賬戶 |
HildeGard@TeamTNT@HildeTNT |
|
GitHub賬戶 |
hilde@TeamTNT HildeTeamTNT |
|
托管網站 |
teamtnt.red |
4.3.2 典型案例
● TeamTNT組織發起新一輪攻擊活動
研究人員發現了TeamTNT正在策劃一場新的攻擊活動。在這次攻擊活動中,TeamTNT似乎回歸本源,準備對云環境進行大規模攻擊。該組織目前以暴露的Docker守護進程為目標,部署Sliver惡意軟件、網絡蠕蟲和加密礦工,使用受感染的服務器和Docker Hub作為傳播惡意軟件的基礎設施。在此次活動中,TeamTNT通過將受感染的Docker實例附加到Docker Swarm并利用Docker Hub存儲和分發惡意軟件。他們還將受害者的計算能力出租給第三方,有效地通過加密貨幣挖礦間接賺錢,而無需自己管理。此外,他們還采用了新的黑客工具,用更隱蔽的Sliver惡意軟件取代了傳統的Tsunami后門[4]。
● 地平線上的烏云:TeamTNT的復蘇?
研究人員發現了TeamTNT新的活動影響基于CentOS操作系統的VPS云基礎設施的明確證據。調查顯示,初始訪問是通過對受害者資產進行安全外殼(SSH)暴力破解實現的,在此期間威脅行為者上傳了惡意腳本。惡意腳本在搜索現有礦工時會禁用安全功能、刪除日志并修改系統文件。還會終止加密貨幣挖掘過程、刪除Docker容器并更新Google服務器的DNS設置。安裝Diamorphine工具包以實現隱藏和root權限,并使用自定義工具來維持持久性和控制。通過修改文件屬性、創建具有root訪問權限的后門用戶以及刪除命令歷史記錄來鎖定系統,以隱藏其活動[5]。
4.4 H2Miner
H2Miner挖礦木馬最早出現于2019年12月,爆發初期及此后一段時間該挖礦木馬都是針對Linux平臺,直到2020年11月后,開始利用WebLogic漏洞針對Windows平臺進行入侵并植入對應挖礦程序。此外,該挖礦木馬頻繁利用其他常見Web組件漏洞,入侵相關服務器并植入挖礦程序。例如,2021年12月,攻擊者利用Log4j漏洞實施了H2Miner挖礦木馬的投放。
4.4.1 組織概覽
表4-4 H2Miner挖礦組織介紹
|
組織名稱 |
H2Miner/Kinsing |
|
出現時間 |
2019年12月 |
|
針對平臺 |
Windows、Linux |
|
傳播方式 |
漏洞利用 |
|
利用的漏洞 |
Looney Tunables特權升級漏洞 Apache ActiveMQ RCE漏洞(CVE-2023-46604) Apache Solr’s
DataImportHandler (CVE-2019-0193) Redis未授權RCE Confluence未授權RCE(CVE-2019-3396) WebLogic RCE漏洞(CVE-2020-14882/14883) Log4j漏洞(CVE-2021-44228) …… |
|
挖礦幣種 |
門羅幣(XMR) |
4.4.2 典型案例
● Kinsing組織將新披露的漏洞集成到漏洞利用庫中并擴展其僵尸網絡
Kinsing組織將新披露的漏洞集成到漏洞利用庫中并擴展其僵尸網絡。該組織自2019年以來積極策劃非法加密貨幣挖礦活動。近年來,涉及基于Golang的惡意軟件的活動利用了Apache ActiveMQ、Apache Log4j、Apache NiFi、Atlassian Confluence、Citrix、Liferay Portal、Linux、Openfire、Oracle WebLogic Server和SaltStack中的各種缺陷來破壞易受攻擊的系統[6]。
4.5 Libgcc_a
Libgcc_a挖礦木馬在Linux系統上主要以SSH暴力破解進行傳播,在Windows系統上主要以RDP暴力破解進行傳播。挖礦木馬在感染受害主機后,還會進行橫向傳播進一步感染網內其他主機。利用多種防御手段進行反檢測,如會采用開源rootkit工具r77-rootkit,這個工具具有ring 3隱藏功能,可以隱藏文件、目錄、進程和CPU的使用情況、注冊表項和值、服務、TCP和UDP連接、連接點、命名管道和計劃任務等。另外攻擊者使用開源門羅幣挖礦程序XMRig進行挖礦,在Windows平臺利用netpass工具讀取本地明文RDP密碼等。
4.5.1 組織概覽
表4-5 Libgcc_a挖礦組織介紹
|
組織名稱 |
libgcc_a |
|
出現時間 |
2023年 |
|
針對平臺 |
Windows、Linux |
|
傳播方式 |
RDP暴力破解 SSH暴力破解 |
|
利用的漏洞 |
無 |
|
挖礦幣種 |
門羅幣(XMR) |
4.5.2 典型案例
● Libgcc_a挖礦木馬分析與處置
近期,安天安全服務中心收到多個用戶安全服務委托,部署在用戶網內的防護設備產生了大量暴力破解攻擊告警,同時用戶業務系統運行卡頓。經安天安全服務中心應急響應團隊取證分析,發現為感染了Libgcc_a挖礦木馬,該木馬為專門針對Linux系統,可通過SSH弱口令進行橫向感染和控制其它主機,自身隱蔽能力強。感染后動作包括下載挖礦程序挖礦、添加系統后門、內網掃描伺機進一步傳染、清除安全軟件和競爭對手等,該木馬功能模塊化、攻擊自動化均較強,在自身持久化、行為隱藏、反偵察等方面有改進,感染后傳統方式不易發現[7]。
4.6 Perfctl
Perfctl是一種Linux端的惡意軟件,至少在過去三年間一直在感染Linux服務器和工作站,未被廣泛察覺。該惡意軟件利用漏洞和錯誤配置入侵系統,主要目的是通過服務器的CPU資源進行門羅幣挖礦。Perfctl使用rootkit技術躲避檢測,利用TOR加密通信隱藏其活動。感染后,惡意軟件不僅會隱藏其進程,還會在用戶登錄時停止挖礦,使其難以被察覺。
4.6.1 組織概覽
表4-6 Perfctl挖礦組織介紹
|
組織名稱 |
Perfctl |
|
出現時間 |
2023年9月 |
|
針對平臺 |
Linux |
|
傳播方式 |
暴露的Docker Remote API服務和漏洞利用 |
|
利用的漏洞 |
RocketMQ漏洞(CVE-2023-33246) Polkit漏洞(CVE-2021-4034) |
|
挖礦幣種 |
門羅幣(XMR) |
4.6.2 典型案例
● Linux惡意軟件“Perfctl”背后隱藏多年加密貨幣挖礦活動
研究人員發現,名為“Perfctl”的Linux惡意軟件至少在過去三年間一直在感染Linux服務器和工作站,未被廣泛察覺。該惡意軟件利用漏洞和錯誤配置入侵系統,主要目的是通過服務器的CPU資源進行門羅幣(Monero)挖礦。Perfctl使用rootkit技術躲避檢測,利用TOR加密通信隱藏其活動。感染后,惡意軟件不僅會隱藏其進程,還會在用戶登錄時停止挖礦,使其難以被察覺。據估計,數千臺服務器已經受到感染[8]。
● 攻擊者利用暴露的Docker API部署Perfctl惡意軟件
研究人員發現攻擊者通過暴露的Docker遠程API服務器部署Perfctl惡意軟件。攻擊者首先探測目標服務器,然后利用Docker API創建特權容器,執行經過Base64編碼的惡意載荷。該載荷包含逃逸容器、創建惡意腳本、設置環境變量并下載偽裝成PHP擴展的惡意二進制文件等步驟。此外,攻擊者使用多種規避檢測技術,例如檢查重復進程、創建偽裝目錄,并通過自定義下載功能規避防護機制。為實現持久性,惡意軟件創建了系統服務或計劃任務[9]。
4.7 “匿鏟”
“匿鏟”挖礦木馬從2023年11月開始出現,期間多次升級組件,目前版本為3.0。該挖礦木馬攻擊事件持續活躍,感染量呈上升態勢。主要特點是隱蔽性強、反分析、DLL劫持后門和shellcode注入等。在發現的攻擊活動中,攻擊者利用了兩個比較新穎的技術以對抗反病毒軟件,第一個技術是濫用反病毒軟件的舊版本內核驅動程序中的功能來結束反病毒軟件和EDR,這個技術通過一個主體的PowerShell腳本、一個獨立的PowerShell腳本和一個控制器(內存加載的小型可執行文件)來完成,主體的PowerShell腳本用于下載并安裝反病毒軟件的舊版本內核驅動程序,獨立的PowerShell腳本用于解密并內存加載控制器,控制器用來控制內核驅動程序。雖然被濫用的舊版本內核驅動程序早已更新,但目前仍能被非法利用并有效結束大多數反病毒軟件。第二個技術是利用MSDTC服務加載后門DLL,實現自啟動后門,達到持久化的目的。這個技術利用了MSDTC服務中MTxOCI組件的機制,在開啟MSDTC服務后,該組件會搜索oci.dll,默認情況下Windows系統不包含oci.dll。攻擊者會下載后門DLL重命名為oci.dll并放在指定目錄下,通過PowerShell腳本中的命令創建MSDTC服務,這樣該服務會加載oci.dll后門,形成持久化操作。
4.7.1 組織概覽
表4-7 “匿鏟”挖礦組織介紹
|
組織名稱 |
“匿鏟”/GHOSTENGINE |
|
出現時間 |
2023年11月 |
|
針對平臺 |
Windows |
|
傳播方式 |
偽裝合法程序 |
|
利用的漏洞 |
無 |
|
挖礦幣種 |
門羅幣(XMR) |
4.7.2 典型案例
● “匿鏟”挖礦木馬活動分析
“匿鏟”挖礦木馬首先會從放馬服務器上下載名為“get.png”的PowerShell腳本,解碼后執行哈希驗證、創建計劃任務、禁用系統自帶殺毒軟件和創建服務等操作。之后會下載“kill.png”腳本和“delete.png”、“kill(1).png”兩個壓縮文件,腳本解碼出shellcode代碼,shellcode代碼經過解密得到控制器(一個可執行文件)并注入到powershell.exe進程中,兩個壓縮文件經過解壓縮得到反病毒廠商的舊版本內核驅動程序“aswArPots.sys”和“IObitUnlockers.sys”,由控制器調用,終止殺毒軟件和EDR程序等。還會根據受害主機自身系統型號下載對應的“86/64.png”的壓縮文件,解壓縮后會得到oci.dll文件,通過MSDTC服務調用實現DLL劫持后門。在“get.png”腳本中還看到了下載“backup.png”腳本的地址,但下載函數還未實現,可能后續版本會加,該腳本主要功能是發送心跳接收命令等。最后“get.png”腳本會下載“smartsscreen.exe”程序,該程序會下載挖礦程序及其組件進行挖礦[10]。
● 隱形礦工:揭秘GHOSTENGINE的加密貨幣挖礦行動
研究人員已發現一個入侵集,其中包含多個惡意模塊,并利用易受攻擊的驅動程序來禁用已知的安全解決方案(EDR)以進行加密挖掘。此外,該團隊還發現了建立持久性、安裝以前未記錄的后門以及執行加密挖掘程序的功能。研究人員將此入侵集稱為REF4578,將主要有效載荷稱為GHOSTENGINE[11]。
4.8 RedTail
RedTail挖礦木馬是一種利用系統漏洞進行傳播并實施加密貨幣挖掘的惡意軟件。它通過多種高危漏洞(如Palo Alto Networks防火墻漏洞、TP-Link路由器漏洞等)入侵目標系統,并植入XMRig挖礦程序的變種,挖掘門羅幣。該木馬具有高度隱蔽性,采用加密配置、反調試技術以及動態調整挖礦參數等方式,避免被輕易發現并確保挖礦效率。它還支持多平臺架構,能夠根據系統資源優化自身運行。RedTail不僅會占用大量系統資源,導致設備運行緩慢、電費增加,還可能成為攻擊者進一步入侵的入口,帶來嚴重的安全隱患。
4.8.1 組織概覽
表4-8 RedTail挖礦組織介紹
|
組織名稱 |
RedTail |
|
出現時間 |
2023年12月 |
|
針對平臺 |
IoT、Linux |
|
傳播方式 |
漏洞利用 |
|
利用的漏洞 |
PAN-OS(CVE-2024-3400)漏洞 Ivanti Connect Secure SSL-VPN(CVE-2023-46805、CVE-2024-21887)漏洞 TP-Link路由器(CVE-2023-1389)漏洞 VMWare Workspace ONE訪問和身份管理器(CVE-2022-22954)漏洞 ThinkPHP遠程代碼執行(CVE-2018-20062)漏洞 |
|
挖礦幣種 |
門羅幣(XMR) |
4.8.2 典型案例
● RedTail挖礦組織利用PAN-OS(CVE-2024-3400)漏洞展開攻擊
2024年5月,研究人員披露,RedTail挖礦組織已經將Palo Alto的PAN-OS CVE-2024-3400漏洞納入其攻擊工具包。該漏洞允許攻擊者通過操控SESSID cookie,利用路徑遍歷技術在受害系統上創建任意文件,并執行命令。此次攻擊的目標包括IoT設備(如TP-Link路由器)、ThinkPHP內容管理系統、以及Ivanti Connect Secure和Palo Alto GlobalProtect等安全設備。攻擊者通過多個漏洞傳播惡意軟件,最終目的是加密挖掘Monero(XMR)數字貨幣[12]。