Splunk 发现恶意软件以 AWS 上的 Windows Server 为目标来挖掘 Monero • The Register

数据分析公司 Splunk 表示,它发现加密僵尸网络(Crypto botnet)卷土重来——恶意软件会攻击在亚马逊网络服务中运行 Windows Server 的虚拟服务器。

Splunk 的威胁研究团队 (STRT) 张贴 它对周一的攻击进行了分析,表明它首先对在 AWS 上运行的 Windows Server 实例进行探测,然后寻找启用了远程桌面协议 (RDP) 的那些实例。

一旦识别出目标虚拟机,攻击者就会推出一个旧的最爱:暴力破解密码。 如果该策略成功,攻击者就会开始工作并安装生成门罗币的加密挖掘工具。

安全消息应用 Telegram 也发挥了作用。 攻击者安装它并使用它来携带命令和控制消息。

Splunk 的安全团队注意到,该活动中使用的其中一个 Monero 钱包也参与了 2018 年使用相同加密僵尸网络的攻击浪潮。

但这一次袭击在使用可识别为来自中国和伊朗的资源方面有所不同。 中国似乎是与攻击相关的一些恶意域的可能位置,而伊朗被视为在代码和受害者机器上留下指纹的站点和 Telegram 频道的来源。

Splunk 对那些希望避免攻击的人的建议很简单:及时更新补丁、使用强密码并启用网络级身份验证。 Windows 管理员也会知道默认情况下 RDP 没有打开,这是有充分理由的——对于那些不想避免攻击的人的建议大概是打开 RDP,使用“Admin/Passw0rd1234”作为登录凭据,然后让 ‘er rip’。

供应商发布了攻击指南 这里. ®


阅读更多

About crypto

Check Also

星期三的图表看起来如何?

星期三的图表看起来如何?

新闻首页 2023 年 2 月 …

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注