Prowli攻擊行動的受害者分佈情形,全球已有超過9000家企業、逾4萬台裝置受害。

圖片來源: 

Guardicore Labs

資安研究團隊Guardicore Labs本周揭露了一個採礦惡意行動Prowli,相關攻擊已殃及全球9,000個企業的4萬個裝置,除了於被駭裝置上植入採礦程式之外,也會把合法網站的流量導至惡意網站,不管是Drupal網站、WordPress網站、DSL數據機、採用SSH的伺服器或IoT裝置皆受害。

該實驗室指出,Prowli攻擊行動鎖定多元化的平台,從代管熱門網站的CMS服務、執行HP Data Protector的備份伺服器、採用開放SSH傳輸埠的伺服器、到DSL數據機與IoT裝置都受到駭客的襲擊,入侵途徑包括攻擊程式、暴力破解密碼,以及脆弱的配置。其中,有67%的受害裝置為採用脆弱SSH憑證的伺服器。

此外,駭客並沒有設定任何的產業,不管是電腦服務業、大學、政府機關、媒體、金融服務或運輸業全都受害,Guardicore Labs因而推測駭客的企圖不在於間諜行為,而是單純為了獲利。

Prowli攻擊行動有兩個獲利來源,一是於被駭裝置上植入開採門羅幣(Monero)的採礦程式,二則是進行流量詐騙,挾持使用者流量以將其導至各種惡意網站,諸如偽造的技術支援服務或是惡意的瀏覽器擴充程式等,駭客藉由出售用戶流量而獲利。

值得注意的是,Prowli有個攻擊百寶箱,可根據需求調用不同的攻擊工具,例如採用SSH的裝置可能會被暴力破解密碼而植入採礦程式,安裝K2擴充程式的Joomla! 伺服器則是被開採檔案下載漏洞,要攻陷DSL數據機則是利用網路上的配置服務,還含有多種可入侵WordPress伺服器的方法。

其它受到Prowli攻擊行動鎖定的還有Drupal伺服器、PhpMyAdmin伺服器、NFS伺服器,以及其它曝露SMB傳輸埠的伺服器。

要預防Prowli攻擊只要採取基本的防護動作即可,包括隨時採用最新版本,以及設定不容易被破解的強大密碼,Guardicore Labs還建議企業於自家網路中隔離那些亦受攻擊的系統。


Advertisement

更多 iThome相關內容