Related Articles
数据分析公司 Splunk 表示,它发现加密僵尸网络(Crypto botnet)卷土重来——恶意软件会攻击在亚马逊网络服务中运行 Windows Server 的虚拟服务器。
Splunk 的威胁研究团队 (STRT) 张贴 它对周一的攻击进行了分析,表明它首先对在 AWS 上运行的 Windows Server 实例进行探测,然后寻找启用了远程桌面协议 (RDP) 的那些实例。
一旦识别出目标虚拟机,攻击者就会推出一个旧的最爱:暴力破解密码。 如果该策略成功,攻击者就会开始工作并安装生成门罗币的加密挖掘工具。
安全消息应用 Telegram 也发挥了作用。 攻击者安装它并使用它来携带命令和控制消息。
Splunk 的安全团队注意到,该活动中使用的其中一个 Monero 钱包也参与了 2018 年使用相同加密僵尸网络的攻击浪潮。
但这一次袭击在使用可识别为来自中国和伊朗的资源方面有所不同。 中国似乎是与攻击相关的一些恶意域的可能位置,而伊朗被视为在代码和受害者机器上留下指纹的站点和 Telegram 频道的来源。
Splunk 对那些希望避免攻击的人的建议很简单:及时更新补丁、使用强密码并启用网络级身份验证。 Windows 管理员也会知道默认情况下 RDP 没有打开,这是有充分理由的——对于那些不想避免攻击的人的建议大概是打开 RDP,使用“Admin/Passw0rd1234”作为登录凭据,然后让 ‘er rip’。
供应商发布了攻击指南 这里. ®
阅读更多
