黑客使用NSA泄漏工具使用CryptoMiners感染企业

安全研究人员发现了一个正在进行的加密劫持活动，该活动使用方程组泄露的漏洞利用工具包，通过XMRig Monero矿工感染来自世界各地的未打补丁的计算机。

此次加密活动背后的网络犯罪分子使用NSA开发的 EternalBlue和EternalChampion  SMB攻击来破坏易受攻击的Windows计算机，这些攻击是Shadow Brokers黑客组织于2017年4月泄露的漏洞。

尽管微软修补了安全漏洞，这些工具的滥用，以打入Windows机器[ 1，2，3 ]，仍然有很多裸露的电脑，因为他们没有被更新，以不被这些非常危险的安全漏洞影响的较新的操作系统版本。

该活动的目标

“该活动似乎很普遍，目标遍布全球所有地区。中国和印度等人口众多的国家也有最多的目标组织，”趋势科技的研究人员说，他们发现了这种持续的加密攻击针对来自世界各地的公司的广告系列。

此外，“在各种行业中的业务，包括教育，通信和媒体，银行，制造业和技术”正成为这些攻击的目标，不良行为者关注使用“过时或未修补软件”的受害者。

国家/地区定位的组织数量

黑客正在使用“霰弹枪”攻击方法，选择妥协他们可以找到的任何易受攻击的机器，并且不会因为经常会影响公司的有经验的恶意行为者进行的针对性攻击而停下来挑选。

这表明“入门级网络犯罪分子正在轻松获取我们可以考虑的”军用级“工具 - 并将其用于看似普通的网络犯罪活动。”

攻击脆弱的主人并放置挖矿

基于EternalBlue的自动扩展后门和Vools木马的变体被用作在受感染计算机上部署大约80个XMRig加密货币矿工的变种的主要工具，使用具有相似用户名和相同密码的五种不同的挖掘配置。

cryptominer二进制文件总是被丢弃在受感染系统的system32或SysWOW64文件夹中，而miner变体是决定选择哪个文件夹来删除XMRig有效负载的变体。

Cryptominer配置

此次活动所有受到破坏的机器都是趋势科技研究团队发掘的各公司内部网络部分的一部分。

用于丢弃广告系列恶意负载的服务器尚不得而知，因为黑客不断修改攻击中使用的基础架构，因为他们想要逃避检测，或者因为他们失去了对某些基础架构的控制权。

此活动中所有受感染计算机的常见问题是主Windows文件夹中存在的Diagnostics.txt文档，实际上是一个ZIP存档，其中包含NSA泄露的漏洞和攻击中使用的其他一些恶意工具。

黑客攻击中使用的工具

今年4月，在使用EternalBlue漏洞和生活在陆地上（LotL）模仿基于PowerShell的脚本攻击亚洲目标时，观察到另一次恶意攻击，将特洛伊木马和Monero币计算机放在他们目标的机器上。

尽管密码劫持在整个2018年都出现了下降趋势，但它仍然受到威胁参与者的欢迎，正如宇宙数字研究团队在3月份发现的具有类蠕虫行为的PsMiner加密劫持恶意软件所示  。

八个应用程序的集合   在Microsoft Store用户的PC上放弃了恶意Monero加密脚本，以及数百个暴露且易受攻击的Docker主机  在加密劫持活动中被滥用  也证实了这一点。

2月份，另一位威胁演员使用XMR-Stak Cryptonight加密货币挖掘机瞄准运行多个Linux发行版的服务器，而一个新发现的  Backdoor木马被称为SpeakUp，  在MacOS和Linux机器上放弃了XMRig矿工。

原文始发于微信公众号（红数位）：黑客使用NSA泄漏工具使用CryptoMiners感染企业