据报道称,新的威胁组织已在全球范围内发起加密货币挖矿攻击,并正在利用美国国家安全局(NSA)的漏洞来传播其恶意软件。
思科Talos最新报告公布了这个被称为“Panda”的威胁组织。思科Talos的威胁研究员和战略情报负责人Christopher Evans和Dave Liebenberg写道,尽管该威胁组织“远非最复杂的组织”,但它一直非常活跃,并会在安全研究人员公开攻击指示(POC)和概念证明后会“即时更新其基础架构和漏洞利用”。
Evans和Liebenberg在博客中写道:“Panda组织希望继续在全球范围内利用易受攻击的Web应用程序,其工具允许他们遍历整个网络,并且,他们在利用RAT,这意味着全世界的企业都面临着将其系统资源误用于挖矿目的的风险,或更糟的情况是,例如有价值信息的泄漏。我们的威胁陷阱表明,Panda组织使用了Shadow Brokers和Mimikatz(开源证书倾销程序)先前使用的漏洞利用。”
NSA的漏洞利用包括EternalBlue,它攻击了微软的服务器消息块(SMB)协议中的漏洞。最早在2018年夏天,这些研究人员注意到Panda的加密货币挖矿攻击,并告诉SearchSecurity,在过去的一年中,他们看到该组织蜜罐中的日常活动。
Evans称:“我们几乎每天都会在我们的几个蜜罐中看到他们,这表明,他们正在瞄准互联网的很大一部分。我们的蜜罐部署在世界各地,我从未发现他们在数据攻击中有地域重点。他们瞄准的是广泛部署的应用程序,并且,这些应用程序没有打补丁的话,很容易成为攻击目标。”
自1月份以来,研究人员发现Panda的加密货币挖矿攻击会针对不同的漏洞而改变,首先他们利用的是ThinkPHP Web框架问题,然后是Oracle WebLogic漏洞,并且,他们在3月以及过去一个月使用了新的基础结构。
研究人员写道:“他们还经常会更新其目标,通过各种漏洞利用来瞄准多个漏洞,并在公共攻击指示可用后不久迅速开始利用已知漏洞,这对任何没有迅速修复漏洞的人都构成威胁。而且,如果加密货币攻击者能够感染您的系统,则意味着另一个参与者可以使用相同的感染媒介来传播其他恶意软件。”
Liebenberg告诉SearchSecurity,“似乎他们没有使用OpSec,而是专注于数量。这就是为什么他们继续使用旧的、遭破坏的基础架构并同时部署新基础架构的原因之一。”
Evans和Liebenberg在他们的研究中指出,Panda组织已经赚了大约1,215门罗币(一种强调隐私的加密货币),现在相当于近100,000美元。一个门罗币目前等于78美元,但门罗币的价值一直处于波动中-从年初开始约50美元,到6月达到峰值110美元以上。
这两位研究人员已经证实,Panda加密货币挖矿攻击已瞄准银行、医疗保健、运输、电信和IT服务行业的企业。Evans和Liebenberg还告诉SearchSecurity,企业检测其是否受到攻击的最佳方法是“寻找长时间的高系统利用率、使用常见的挖矿端口(3333,4444)连接到挖矿池、监视常见的恶意软件持久性机制、监视到已知采矿池的DNS流量,并在IDS中启用适当的规则。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
10款API安全测试工具帮助降低风险
API是现代应用程序架构的核心。然而,由于其重要性以及提供数据和资源访问的能力,它们经常成为攻击者的目标。 A […]
-
如何防止DDoS攻击
分布式拒绝服务(DDoS)攻击,尽管广为人知,但仍然是恶意行为者用来对企业造成财务和声誉损害的常见的方法。 然 […]
-
API安全成熟度模型用于评估API安全态势
随着企业使用的API数量不断增加,保护这些代码位比以往任何时候都更加重要,它们使软件能够通信。为此,团队必须审 […]
-
CrowdStrike:内容验证漏洞导致全球中断
CrowdStrike周三表示,该网络安全供应商内容验证系统中的漏洞是导致上周五全球中断的的原因。 上周五,C […]