中国及美国西海岸的互联网服务提供商(ISP)近期遭遇大规模网络攻击,黑客通过入侵受害系统,植入信息窃取程序和加密货币挖矿软件。
中国及美国西海岸的互联网服务提供商(ISP)近期遭遇大规模网络攻击,黑客通过入侵受害系统,植入信息窃取程序和加密货币挖矿软件。
据Splunk威胁研究团队报告,此次攻击还涉及多个二进制程序,这些程序不仅可用于窃取数据,还能帮助攻击者在受感染系统中建立长期控制权限。
Cisco旗下的Splunk研究团队表示,攻击者在操作过程中尽量减少入侵痕迹,以规避检测,除非受害账户已经遭到控制。
“该攻击组织主要依赖Python和PowerShell等脚本语言进行横向移动与渗透,并使用API(如Telegram)执行远程控制(C2)操作。”
此次攻击活动主要利用暴力破解手段,针对弱密码账户进行入侵。攻击源IP地址主要来自东欧,受害目标包括超过4,000个ISP提供商的IP地址。
攻击者在获取初始访问权限后,会通过PowerShell执行一系列恶意程序,包括网络扫描、信息窃取以及XMRig加密货币挖矿,以滥用受害设备的计算资源。
在执行恶意程序之前,攻击者通常会先关闭安全软件功能,并终止与挖矿检测相关的服务,以降低被发现的风险。
除了截屏功能,该恶意软件还具备类似“剪贴板劫持”程序的特性,可监控受害者的剪贴板内容,专门窃取比特币(BTC)、以太坊(ETH)、币安链BEP2(ETHBEP2)、莱特币(LTC)和波场(TRX)等加密货币钱包地址。窃取的数据随后被上传至黑客控制的Telegram机器人。
此外,受感染设备还会被植入一个二进制文件,用于执行额外的恶意负载,其中包括:
-
Auto.exe:从C2服务器下载密码列表(pass.txt)和IP地址列表(ip.txt),用于后续暴力破解攻击
-
Masscan.exe:多功能端口扫描工具大规模IP扫描,精准锁定目标
Splunk研究团队指出,攻击者专门针对美国西海岸及中国的ISP基础设施IP地址,并利用Masscan扫描工具批量扫描大量IP地址,以发现开放端口,并进一步实施凭证暴力破解攻击。
转载请注明出处@安全威胁纵横,封面由ChatGPT生成;
消息来源:https://thehackernews.com/2025/03/over-4000-isp-networks-targeted-in.html
更多网络安全视频,请关注视频号“知道创宇404实验室”
原文始发于微信公众号(安全威胁纵横):中美4000余IP地址遭暴力破解,黑客植入恶意软件与挖矿木马
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论