不明黑客组织攻击中美ISP目标，部署信息窃取木马和挖矿木马

中国和美国西海岸的互联网服务提供商 (ISP) 已成为大规模攻击活动的目标，攻击活动在受感染的主机上部署信息窃取程序和加密货币挖掘程序。

该研究结果来自 Splunk 威胁研究团队，该团队表示，该活动还导致了各种二进制文件的传播，这些二进制文件有助于数据泄露，并提供了在系统上建立持久性的方法。

这家思科旗下的公司在上周发布的技术报告中表示，这些未确认的威胁组织“执行了最低限度的侵入性操作以避免被发现，但已经被入侵的账户所创建的程序除外” 。

“该攻击者还主要通过使用依赖并运行脚本语言（例如 Python 和 Powershell）的工具来移动和转动，从而使攻击者能够在受限环境下执行并使用 API 调用（例如 Telegram）进行 C2 [命令和控制] 操作。”

据观察，这些攻击利用了利用弱密码的暴力攻击。这些入侵企图源自与东欧相关的 IP 地址。据称，超过 4,000 个 ISP 提供商的 IP 地址已成为特定目标。

在获得目标环境的初始访问权限后，我们发现攻击会通过 PowerShell 释放多个可执行文件，以通过滥用受害者的计算资源进行网络扫描、信息窃取和 XMRig 加密货币挖掘。

在执行有效载荷之前有一个准备阶段，包括关闭安全产品功能和终止与加密矿工检测相关的服务。

该窃取恶意软件除了具有捕获屏幕截图的能力外，其功能类似于剪辑恶意软件，旨在通过搜索比特币（BTC）、以太坊（ETH）、币安链 BEP2（ETHBEP2）、莱特币（LTC）和波场币（TRX）等加密货币的钱包地址来窃取剪贴板内容。

收集到的信息随后被泄露给 Telegram 机器人。被感染的机器上还存放着一个二进制文件，它会启动其他有效载荷：

Auto.exe，旨在从其 C2 服务器下载密码列表 (pass.txt) 和 IP 地址列表 (ip.txt)，以执行暴力攻击

Masscan.exe，一款多质量扫描工具

Splunk 表示：“攻击者针对的是位于美国西海岸和中国的 ISP 基础设施提供商的特定 CIDR。”

CIDR（无类别域间路由，Classless Inter-Domain Routing）是一种用于IP地址分配和路由的方法。它通过将IP地址和子网掩码表示为一个IP地址/网络长度的形式，来更有效地分配和管理IP地址空间。例如，192.168.1.0/24表示一个子网，其中网络远端长度为24位，对应子网掩码为255.255.255.0。CIDR使得IP地址的分配更加灵活，可以根据实际需求划分不同大小的子网。

“这些 IP 是使用 masscan 工具进行攻击的，该工具允许操作员扫描大量 IP 地址，随后可以探测这些 IP 地址是否存在开放端口和凭证暴力攻击。”

技术报告：

https://www.splunk.com/en_us/blog/security/infostealer-campaign-against-isps.html

新闻链接：

https://thehackernews.com/2025/03/over-4000-isp-networks-targeted-in.html