自12月初以來，一種新發(fā)現(xiàn)的、基于Golang的自我傳播的惡意軟件一直在Windows和Linux服務(wù)器上主動運行XMRig加密貨幣礦機程序。Intezer安全研究員Avigayil Mechtinger透露，這個多平臺的惡意軟件還具有蠕蟲功能，可以通過用弱密碼強行使用面向公眾的服務(wù)(即MySQL、Tomcat、Jenkins和WebLogic)傳播到其他系統(tǒng)。

自首次發(fā)現(xiàn)該蠕蟲以來，背后的攻擊者一直通過其命令和控制（C2）服務(wù)器積極更新該蠕蟲的功能，這暗示著該蠕蟲依然是一個積極維護的惡意軟件。

C2服務(wù)器用于托管bash或PowerShell滴管腳本（取決于目標(biāo)平臺），一個基于Golang的二進制蠕蟲，以及部署的XMRig礦工，以在受感染的設(shè)備上偷偷挖掘不可追蹤的Monero加密貨幣（門羅幣）。

該蠕蟲通過使用密碼噴灑式攻擊和硬編碼憑證列表掃描和強行通過MySQL、Tomcat和Jenkins服務(wù)傳播到其他計算機。該蠕蟲的舊版本還試圖利用CVE-2020-14882 Oracle WebLogic遠程代碼執(zhí)行漏洞。一旦它成功入侵其中一臺目標(biāo)服務(wù)器，就會部署加載器腳本（Linux的ld.sh和Windows的ld.ps1），該腳本的載荷會同時投放XMRig礦工程序和基于Golang的蠕蟲二進制代碼。

如果惡意軟件檢測到受感染的系統(tǒng)正在監(jiān)聽52013端口，它將自動殺死自己。如果該端口未被使用，蠕蟲將打開自己的網(wǎng)絡(luò)套接字。

要防御這種新的多平臺蠕蟲發(fā)動的蠻力攻擊，網(wǎng)絡(luò)管理員應(yīng)該限制登錄條件，并在所有暴露在互聯(lián)網(wǎng)上的服務(wù)上使用難以猜測的密碼，以及盡可能使用雙因素認證。

?

（消息來源：cnBeta；封面來自網(wǎng)絡(luò)）

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/