研究人员表示,新发现的加密蠕虫正在通过一批新的漏洞和能力加强其对Windows和Linux设备的目标。
研究公司Juniper开始监控它在12月份呼叫Sysrv Botnet的内容。其中一个僵尸网络的恶意软件组件是一种从一个易受攻击设备传播到另一个易受攻击设备的蠕虫,而无需任何用户操作。它通过扫描易受攻击设备的互联网来实现这一目标,并且在找到时,使用随着时间的推移增加的漏洞利用列表感染它们。
恶意软件还包括密码,该加密器使用受感染的设备来创建Monero数字货币。每个组件都有一个单独的二进制文件。
到3月,SysRV开发人员重新设计了恶意软件,将蠕虫和矿工结合成一个单一的二进制文件。它们还给出了脚本,该脚本加载恶意软件的能力添加SSH键,很可能是使其更好地生存重启并具有更复杂的功能的方法。该蠕虫在企业中使用的软件和框架中利用六种漏洞,包括Mongo Express,XXL-Job,XML-RPC,Saltstack,Thinkphp和Drupal Ajax。
“基于我们看到的二进制文件以及我们看到它们的时间,我们发现威胁演员正在不断更新其利用武器,”瞻博网络在星期四的博客文章中说。
星期四的帖子列出了Malware攻击的十几个漏洞。他们是:
开发人员也改变了采矿池感染的设备加入。矿工是目前用于以下挖掘池的开源XMRIG的版本:
一个采矿池是一组加密货币,将其计算资源结合起来,以减少其返回的波动,并增加找到交易块的机会。根据采矿池盈利能力比较网站PoolWatch.io,SysRV使用的池是四个顶级Monero挖掘池中的三个。
“联合在一起,他们几乎有50%的网络哈希率,”Kimayong写道。 “威胁演员的标准似乎是高奖励率的最佳挖掘池。”
Nanopool表明,从3月1日至3月28日,钱包上涨了8 xMR,价值大约1,700美元。它每两天增加约1 xMR。
sysrv二进制文件是一个64位的二进制文件,它与开源UPX可执行包装器打包。 Windows和Linux都有版本。根据Virustotal的说法,在第70页恶意软件保护服务的33和48中检测到随机选择的两个Windows二进制文件。两个随机挑选的Linux二进制文件有六个和九个。
来自该僵尸网络的威胁不仅仅是计算资源和电力的非琐碎漏极的应变。有能力运行加密器的恶意软件肯定也可以安装赎金软件和其他恶意的商品。星期四的博客帖子有几十个指标,即管理员可以用来了解他们管理的设备是否受到感染。