Kingminer挖矿僵尸木马近期活动,伪装成控制面板项隐藏自身
Bitdefender的研究人员发现了一种使用复杂技术、战术和程序来传送恶意有效载荷的攻击。在许多情况下,执行是从最新的SQL server进程开始的,这些进程没有任何已知的零日漏洞。使用的恶意有效负载是Kingminer的变种,这是一个2018年的僵尸网络,以向受害机器提供加密货币挖掘工具而闻名。但在这次新的活动中,攻击者通过Powershell和Mshta,采用了更高级的无文件执行方式,与过去相比,更多地侧重于防御规避。在此活动中,自定义的Kingminer加密劫持程序伪装成控制面板项(.cpl),以进一步减少被发现的机率。主要有以下发现:通过强制帐户从SQL Server进程进行初始访问;利用永恒之蓝漏洞(CVE-2017-0144)初始执行;使用DGA(域生成算法)规避黑名单;使用Mimikatz和PowerSploit等工具;bots无文件执行;有效负载XMRig,Kingminer。
病毒木马恶意软件僵尸网络 KingminerXMRig
情报来源: 天际友盟
2020/07/09
更新来源: 天际友盟