详细内容或原文请订阅后点击阅览
大规模剥削活动达到了4,000多个ISP网络,以部署信息窃取者和加密矿工
在中国和美国西海岸进行的大规模攻击目标ISP将信息窃取者和加密矿工部署在受损的系统上。 Splunk威胁研究小组发现了来自中欧的大规模剥削运动,目的是针对中国和美国西海岸的ISP,以部署信息窃取者和加密矿工。威胁演员使用弱[…]
来源:Security Affairs _恶意软件大规模剥削活动达到了4,000多个ISP网络,以部署信息窃取者和加密矿工
在中国和美国西海岸进行的大规模攻击目标ISP将信息窃取者和加密矿工部署在受损的系统上。
Splunk威胁研究团队发现了来自中欧的大规模剥削运动,针对中国和美国西海岸的ISP,以部署信息窃取者和加密货币矿工。威胁参与者使用弱的蛮力武力来访问目标系统,然后使用加密货币矿工和犯罪软件,具有诸如数据剥落,持久性,自我终止和枢轴攻击等能力。该恶意软件可以进一步禁用远程访问。
“ Splunk威胁研究团队观察到行为者进行的最小侵入性操作以避免检测,但账户已经妥协的文物除外。该演员还主要通过使用依赖和运行脚本语言(例如Python和Powershell)的工具来移动和枢轴,从而允许演员在受限环境下执行并使用C2操作的API调用(例如电报)。”阅读Splunk发布的报告。 “观察到的IP CIDR范围表明ISP基础架构的特定靶向,可能是为了执行加密操作(XMR)。”
报告一旦攻击者获得访问权限,他们就会使用PowerShell将二进制文件放在名为“ Migration”的文件夹中,并使用Masscan.exe之类的工具进行网络扫描。在执行之前,他们禁用安全功能并终止检测Cryptominers的服务。
Masscan.exe专家观察到的有效载荷包括信息窃取者,加密矿工和基于SSH的C2连接。该文件夹还包含文本文件,其中列出了4,000多个目标IP和密码,重点是中国和美国西海岸的ISP。
只是 足够在Twitter上关注我:@securityaffairs和Facebook和Mastodon
@securityaffairs Facebook mastodonPierluigi Paganini
(SecurityFaffairs - 黑客,加密矿工)
( SecurityFaffairs -