情境示意圖,Photo by Clint Adair on Unsplash

思科旗下安全研究部門Talos近日發現一波攻擊行動,駭客利用多種能力的殭屍網路病毒感染Windows電腦並植入挖礦軟體。

研究人員指出,這隻名為Prometei的殭屍網路病毒從今年3月開始流行,但6月才第一次被發現並分析。駭客使用多種方法來散布這隻病毒,像是竊來的SMB帳號密碼、SMB漏洞如SMBGhost、WMI(Windows Management Instrumentation)及PsExec漏洞等進入Windows 系統,此外也使用多種工具,像是EternalBlue來擴大感染範圍。

研究人員分析Prometei一共具備超過15種可執行模組,全部都由主要模組下載並控制。一旦進入受害者電腦後,主要模組會產生RAT(remote access trojan)的功能,持續和外部C&C伺服器建立HTTP連線,並以修改過的Mimikatz模組在受害電腦內搜尋管理者密碼。它蒐集到的密碼一方面經由RC4加密連線傳送到C&C伺服器,另一方面分享給其他模組,由後者經由SMB和RDP協定驗證密碼是否可用於其他系統,以便進行橫向散布。

但主要模組最主要目的是在受害電腦中植入挖礦軟體,以賺取Monero幣。此外,由於它也會蒐集比特幣電子錢包帳密,因此它可能也竊取比特幣。研究人員指出,這隻病毒使用的手法相當隱密,令受害者很難察覺,也是它3月後才現形的主因。

由連線的地點來看,受害者已遍及美國、土耳其、巴基斯坦、中國、中南美等國。雖然執法人員已在6月初查獲一臺伺服器,但研究人員研判這個殭屍網路仍然活躍,其後的駭客為單一組織,可能位於東歐。


Advertisement

更多 iThome相關內容