Splunk 威胁研究团队的一份新网络安全报告发现了一场针对美国西海岸和中国互联网服务提供商 (ISP) 基础设施的大规模信息窃取和加密挖矿活动。据信该活动源自东欧,采用暴力攻击、凭证滥用、数据泄露和加密挖矿有效载荷来破坏 ISP 基础设施。
Splunk 威胁研究团队发现,美国和中国 ISP 提供商的 4,000 多个 IP 地址成为攻击目标。攻击采用最低限度的入侵技术,使威胁行为者得以逃避检测。
报告称:“此次大规模攻击活动源自东欧,利用简单的工具滥用受害者的计算机处理能力来安装具有多种功能的加密挖掘负载和二进制文件。”
攻击者依赖 Python 和 PowerShell 等脚本语言,这使得他们能够在受限环境中进行操作。此外,Telegram API 调用被用作 C2 通信通道。
一旦获得访问权限,攻击者就会将各种二进制文件放入名为 Migration 的文件夹中,其中包含信息窃取负载和加密矿工。识别的主要恶意文件包括:
此次攻击最令人担忧的方面之一是它能够自动收集数据并劫持剪贴板以窃取加密货币钱包地址。该恶意软件还会捕获屏幕截图并将其传输到 Telegram 机器人 C2 服务器:“该恶意软件将这些数据发送到其 C2 服务器,该服务器通过 Telegram 机器人运行。”
报告强调,Windows 远程管理 (WINRM) 服务被滥用为主要攻击媒介:“一旦恢复用户名和密码,它将执行 WINRM 服务来部署有效载荷。”
WINRM 执行允许攻击者利用编码的 PowerShell 脚本来禁用安全防御并悄悄执行恶意软件。此外,Masscan 工具还用于扫描大量 IP 地址以查找易受攻击的系统。
该恶意软件的最终目的似乎是通过 XMRig 加密货币挖矿操作获利,同时窃取数据。已识别的组件包括 MicrosoftPrt.exe,这是一种用于窃取加密货币钱包信息的clipbanker 恶意软件。其他二进制文件(例如 Superfetch.exe 和 ApplicationFrame.exe)与挖矿操作有关。
为了确保持久性,攻击者操纵 Windows 注册表项并修改文件访问权限,以阻止管理员删除恶意软件。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
美国妹子花$949从两家中国工厂买了香奈儿山寨包,认真测评!没想到评论区是这画风
突发!刘益谦旗下天茂集团2024年年报“放鸽子”,国华人寿上半年已净亏7亿元
对话西门子:为什么说Industrial Copilot是未来工业环境中人类的最强辅助
苹果研发智能眼镜代号“N50”,新款Apple Vision最快年底发布
或成为最薄折叠屏手机,曝三星Galaxy Z Fold7折叠状态下厚度为8.2毫米
OPPO Reno14系列真机图曝光:全新炮筒镜头排列+Deco冷雕工艺