据报道称，新的威胁组织已在全球范围内发起加密货币挖矿攻击，并正在利用美国国家安全局（NSA）的漏洞来传播其恶意软件。

思科Talos最新报告公布了这个被称为“Panda”的威胁组织。思科Talos的威胁研究员和战略情报负责人Christopher Evans和Dave Liebenberg写道，尽管该威胁组织“远非最复杂的组织”，但它一直非常活跃，并会在安全研究人员公开攻击指示（POC）和概念证明后会“即时更新其基础架构和漏洞利用”。

Evans和Liebenberg在博客中写道：“Panda组织希望继续在全球范围内利用易受攻击的Web应用程序，其工具允许他们遍历整个网络，并且，他们在利用RAT，这意味着全世界的企业都面临着将其系统资源误用于挖矿目的的风险，或更糟的情况是，例如有价值信息的泄漏。我们的威胁陷阱表明，Panda组织使用了Shadow Brokers和Mimikatz（开源证书倾销程序）先前使用的漏洞利用。”

NSA的漏洞利用包括EternalBlue，它攻击了微软的服务器消息块（SMB）协议中的漏洞。最早在2018年夏天，这些研究人员注意到Panda的加密货币挖矿攻击，并告诉SearchSecurity，在过去的一年中，他们看到该组织蜜罐中的日常活动。

Evans称：“我们几乎每天都会在我们的几个蜜罐中看到他们，这表明，他们正在瞄准互联网的很大一部分。我们的蜜罐部署在世界各地，我从未发现他们在数据攻击中有地域重点。他们瞄准的是广泛部署的应用程序，并且，这些应用程序没有打补丁的话，很容易成为攻击目标。”

自1月份以来，研究人员发现Panda的加密货币挖矿攻击会针对不同的漏洞而改变，首先他们利用的是ThinkPHP Web框架问题，然后是Oracle WebLogic漏洞，并且，他们在3月以及过去一个月使用了新的基础结构。

研究人员写道：“他们还经常会更新其目标，通过各种漏洞利用来瞄准多个漏洞，并在公共攻击指示可用后不久迅速开始利用已知漏洞，这对任何没有迅速修复漏洞的人都构成威胁。而且，如果加密货币攻击者能够感染您的系统，则意味着另一个参与者可以使用相同的感染媒介来传播其他恶意软件。”

Liebenberg告诉SearchSecurity，“似乎他们没有使用OpSec，而是专注于数量。这就是为什么他们继续使用旧的、遭破坏的基础架构并同时部署新基础架构的原因之一。”

Evans和Liebenberg在他们的研究中指出，Panda组织已经赚了大约1,215门罗币（一种强调隐私的加密货币），现在相当于近100,000美元。一个门罗币目前等于78美元，但门罗币的价值一直处于波动中-从年初开始约50美元，到6月达到峰值110美元以上。

这两位研究人员已经证实，Panda加密货币挖矿攻击已瞄准银行、医疗保健、运输、电信和IT服务行业的企业。Evans和Liebenberg还告诉SearchSecurity，企业检测其是否受到攻击的最佳方法是“寻找长时间的高系统利用率、使用常见的挖矿端口（3333，4444）连接到挖矿池、监视常见的恶意软件持久性机制、监视到已知采矿池的DNS流量，并在IDS中启用适当的规则。”