更多全球網絡安全資訊盡在E安全官網www.easyaq.com
E安全6月8日訊 以色列網絡安全公司 GuardiCore 的安全團隊發現,網絡犯罪分子設法組建了一個龐大殭屍網絡“
Prowli”, 該網絡由4萬多臺被感染的 Web 服務器、調製調解器和其它物聯網(IoT)設備組成。 Prowli 殭屍網絡的操縱者利用漏洞和暴力破解攻擊感染並控制設備。受影響的有9000多家公司,這些公司主要位於中國、俄羅斯、美國等國家。
Prowli如何感染受害者?
Prowli 惡意軟件被用於加密貨幣的挖掘,並將用戶定位到惡意站點。這是一個多樣化的操作系統,依賴於漏洞和憑證的暴力攻擊來感染和接管設備。Prowli 近幾個月感染的已知服務器和設備等如下:
WordPress 站點(利用幾個漏洞和針對管理面板的暴力破解攻擊)
運行 K2 擴展的 Joomla! 站點(利用漏洞CVE-2018-7482)
幾款 DSL 調製調解器(利用已知漏洞)
運行惠普 HP Data Protector 軟件的服務器(利用CVE-2014-2623)
Drupal、PhpMyAdmin 安裝程序、NFS 盒子、開放 SMB 端口的服務器(暴力破解憑證)
此外,Prowli 的操縱者還了運行了 SSH 掃描器模塊,嘗試猜測暴露 SSH 端口的設備用戶名和密碼。
部署加密貨幣挖礦程序、後門和 SSH 掃描器
一旦服務器或物聯網設備遭受攻擊,Prowli 操縱者便會確定這些設備是否可用於挖礦。確定之後,操縱者通過門羅幣挖礦程序和 R2R2 蠕蟲對其進行感染。R2R2 蠕蟲會對被黑的設備執行 SSH 暴力攻擊,並幫助 Prowli 殭屍網絡進一步擴大規模。
此外,運行網站的 CMS 平臺遭遇了後門感染(WSO Web Shell)。攻擊者通過 WSO Web Shell 修改被攻擊的網站,託管惡意代碼將站點的部分訪客重定向至流量分配系統(TDS),然後由TDS將劫持的網絡流量租給其它攻擊者,並將用戶重定向至各種惡意網站,例如虛假的技術支持網站和更新網站。
GuardiCore 公司表示,攻擊者使用的 TDS 系統為 EITest(又被稱為 ROI777)。2018年3月,ROI777 遭到黑客攻擊,其部分數據被洩露到網上後,網絡安全公司於4月關閉了該系統。儘管如此,這似乎並沒有阻止 Prowli 殭屍網絡的行動步伐。
受影響區域,顏色越深越嚴重
“賺錢機器”
根據研究人員的說法,攻擊者精心設計並優化了整起行動,Prowli 惡意軟件感染了9000多家公司網絡上逾4萬臺服務器和設備,然後利用這些設備卯足勁賺錢,該軟件的受害者遍佈全球。
GuardiCore 在報告中提到 Prowli 的攻擊指示器(IoC)和其它詳情,系統管理員可利用這些信息檢查其 IT 網絡是否遭遇攻擊。
報告地址:http://t.cn/R1epLIc
閱讀更多 E安全 的文章
