大规模网络攻击活动利用美国和中国的 4,000 个 ISP IP 进行凭证窃取和加密劫持

Splunk 威胁研究团队的一份新网络安全报告发现了一场针对美国西海岸和中国互联网服务提供商 (ISP) 基础设施的大规模信息窃取和加密挖矿活动。据信该活动源自东欧，采用暴力攻击、凭证滥用、数据泄露和加密挖矿有效载荷来破坏 ISP 基础设施。

Splunk 威胁研究团队发现，美国和中国 ISP 提供商的 4,000 多个 IP 地址成为攻击目标。攻击采用最低限度的入侵技术，使威胁行为者得以逃避检测。

报告称：“此次大规模攻击活动源自东欧，利用简单的工具滥用受害者的计算机处理能力来安装具有多种功能的加密挖掘负载和二进制文件。”

观察到的功能包括：

• 针对初始访问的弱凭据进行暴力攻击

• 禁用远程访问和安全工具的持久机制

• 部署额外的犯罪软件

• 通过命令和控制 (C2) 服务器泄露数据

• 能够自行终止以逃避检测

攻击者依赖 Python 和 PowerShell 等脚本语言，这使得他们能够在受限环境中进行操作。此外，Telegram API 调用被用作 C2 通信通道。

一旦获得访问权限，攻击者就会将各种二进制文件放入名为 Migration 的文件夹中，其中包含信息窃取负载和加密矿工。识别的主要恶意文件包括：

• mig.rdp.exe——用于促进进一步的有效载荷执行。

• Migrate.exe – 部署各种恶意软件组件。

• X64.exe——负责启动额外的脚本和恶意软件负载。

此次攻击最令人担忧的方面之一是它能够自动收集数据并劫持剪贴板以窃取加密货币钱包地址。该恶意软件还会捕获屏幕截图并将其传输到 Telegram 机器人 C2 服务器：“该恶意软件将这些数据发送到其 C2 服务器，该服务器通过 Telegram 机器人运行。”

报告强调，Windows 远程管理 (WINRM) 服务被滥用为主要攻击媒介：“一旦恢复用户名和密码，它将执行 WINRM 服务来部署有效载荷。”

WINRM 执行允许攻击者利用编码的 PowerShell 脚本来禁用安全防御并悄悄执行恶意软件。此外，Masscan 工具还用于扫描大量 IP 地址以查找易受攻击的系统。

该恶意软件的最终目的似乎是通过 XMRig 加密货币挖矿操作获利，同时窃取数据。已识别的组件包括 MicrosoftPrt.exe，这是一种用于窃取加密货币钱包信息的clipbanker 恶意软件。其他二进制文件（例如 Superfetch.exe 和 ApplicationFrame.exe）与挖矿操作有关。

为了确保持久性，攻击者操纵 Windows 注册表项并修改文件访问权限，以阻止管理员删除恶意软件。

来源：https://securityonline.info/massive-cyber-campaign-exploits-4000-isp-ips-in-the-u-s-and-china-for-credential-theft-and-cryptojacking/#google_vignette