圖片來源: 

Photo by Christian Wiediger on unsplash

Splunk安全研究人員發現一樁挖礦攻擊,駭客結合Telegram作為攻擊工具,鎖定Amazon Web Service(AWS)上的Windows Server植入挖礦軟體。

Splunk近日偵測到的一個挖礦殭屍網路(crypto botnet),駭客使用了加密通訊程式Telegram作為C&C(command and control)架構的一部份,用它來控制散布在網路上的殭屍網路程式。Splunk分析發現攻擊來源IP來自中國及伊朗,背後的攻擊者鎖定AWS中啟用遠端桌面協定(Remote Desktop Protocol,RDP)的Windows Server系統,並利用殭屍網路來控制。

Telegram是新興的加密通訊程式。截至今年1月,Telegram包含iOS及Android版,已是下載次數最多的應用程式。它還有桌面版,可透過Telegram API整合行動帳號。該API也能用於遠端執行指令。而這也是這次駭客得以發動攻擊的主要管道。

在這次攻擊中,駭客首先是鎖定AWS中啟用RDP協定的Windows Server。攻擊者以RDP暴力破解工具,來破解採用弱密碼防護的Windows Server。成功存取後,就在Windows Server中植入NL Brute、KPort Scan 和NLA Checker等駭客論壇中找到的特定攻擊工具,進而安裝Telegram Desktop,當成C&C基礎架構的一部份,並且在受害系統中植入採礦程式,如minergate和xmrig,兩者都是用來產生門羅幣(Monero)的工具。

圖片來源_Splunk

Splunk研究團隊發現到其中一個電子錢包和2018年的一宗挖礦攻擊有關,只是這次還用上了Telegram。而攻擊來源也可追溯到中國及伊朗。研究證據顯示中國是部份惡意網域所在,而伊朗則是主要攻擊發動來源。

研究人員建議企業防範方法包括定期更新修補程式,使用強密碼,此外,研究人員建議,RDP啟用網域層認證(Network-Level Authentication),通常可防範部份暴力破解工具及非Windows RDP用戶端的存取企圖。

熱門新聞

Advertisement