门罗币挖矿僵尸网络感染50多万台 Windows 计算机

超过52.6万台 Windows 计算机(主要为 Windows 服务器)受门罗币挖矿软件的感染。其幕后组织操纵着迄今为止规模最大的门罗币挖矿僵尸网络。

研究人员在去年发现该组织的挖矿行为,多家公司已发布了相关报告。由于该僵尸网络规模巨大传播广泛,因此之前多数的报告仅涵盖其中一小部分挖矿活动。

最近发布关于起底该僵尸网络报告的是奇虎360 网络安全研究院 (NetLab)  (僵尸网络被命名为MyKings)和Proofpoint 公司(僵尸网络被命名为Smominru)。其它公司也发布了关于这款僵尸网络

基础设施和行动的部分内容,包括GuardiCore、趋势科技、卡巴斯基、Panda Security 和 Crowdstrike 等,另外中国一些独立的研究员也发布了类似报告。

 

Smominru 牟利约230万美元

综合这些报告来看,Smominru 僵尸网络感染的计算机数量超过52万台并已为操控者牟利8900个门罗币(约折合230万美元)。

Smominru 的操纵者利用不同技术感染机器,其中主要依靠使用“永恒之蓝 (CVE-2017-0144)”利用代码,不过还部署了EsteemAudit (CVE-2017-0176)。这两个漏洞都是为了控制运行未修复的 Windows 操作系统的设备。

正如 GuardiCore 公司指出,该僵尸网络不仅针对 Linux 机器上的 MySQL 服务器,还针对 Windows 服务器上的 MSSQL 数据库。

GuardiCore 公司和369 NetLab 实验室都观测到,该组织在受感染主机上部署大量恶意软件,包括 Mirai DDoS 僵尸、后门等,尽管他们的主要是挖掘门罗币。

 

受害者数量约100万

从通过 sinkholing 收集到的僵尸网络基础设施数据来看,多数受害者位于俄罗斯、印度、中国台湾、乌克兰和巴西。

虽然通过 sinkholing,Proofpoint 公司估算僵尸网络的规模约50万个僵尸,而360网络安全研究院的研究人员表示从不同的来源看,受感染的主机约为100万台。

GuardiCore 在此前发布的报告中表示,有强大的证据表明 Smominru 的操纵者来自中国大陆,而 Proofpoint 表示多数僵尸网络的IP扫描器是从 AS63199 (基于美国的网络)操作的。

Proofpoint 公司还指出,Smominru 目前是 Adylkuzz 僵尸网络规模的近两倍之大,后者是首个利用“永恒之蓝”漏洞的恶意软件家族(甚至早于 WannaCry),它也是门罗币挖矿僵尸网络。

上周本文作者报道了门罗币恶意软件成为互联网上的“霸屏”威胁。思科 Talos 团队本周发布报告证实,门罗币挖矿恶意软件正在取代勒索软件的地位,成为犯罪分子的新宠。

(完)