當前位置:
首頁 > 科技 > 殭屍網路Prowli感染9000家企業的設備,中國公司較多

殭屍網路Prowli感染9000家企業的設備,中國公司較多

更多全球網路安全資訊盡在E安全官網www.easyaq.com

E安全6月8日訊 以色列網路安全公司 GuardiCore 的安全團隊發現,網路犯罪分子設法組建了一個龐大殭屍網路「Prowli」, 該網路由4萬多台被感染的 Web 伺服器、調製調解器和其它物聯網(IoT)設備組成。 Prowli 殭屍網路的操縱者利用漏洞和暴力破解攻擊感染並控制設備。受影響的有9000多家公司,這些公司主要位於中國、俄羅斯、美國等國家。

殭屍網路Prowli感染9000家企業的設備,中國公司較多

Prowli如何感染受害者?

Prowli 惡意軟體被用於加密貨幣的挖掘,並將用戶定位到惡意站點。這是一個多樣化的操作系統,依賴於漏洞和憑證的暴力攻擊來感染和接管設備。Prowli 近幾個月感染的已知伺服器和設備等如下:


  • ?WordPress 站點(利用幾個漏洞和針對管理面板的暴力破解攻擊)

  • ?運行 K2 擴展的 Joomla! 站點(利用漏洞CVE-2018-7482)

  • ?幾款 DSL 調製調解器(利用已知漏洞)

  • ?運行惠普 HP Data Protector 軟體的伺服器(利用CVE-2014-2623)

  • ?Drupal、PhpMyAdmin 安裝程序、NFS 盒子、開放 SMB 埠的伺服器(暴力破解憑證)

此外,Prowli 的操縱者還了運行了 SSH 掃描器模塊,嘗試猜測暴露 SSH 埠的設備用戶名和密碼。

殭屍網路Prowli感染9000家企業的設備,中國公司較多

部署加密貨幣挖礦程序、後門和 SSH 掃描器

一旦伺服器或物聯網設備遭受攻擊,Prowli 操縱者便會確定這些設備是否可用於挖礦。確定之後,操縱者通過門羅幣挖礦程序和 R2R2 蠕蟲對其進行感染。R2R2 蠕蟲會對被黑的設備執行 SSH 暴力攻擊,並幫助 Prowli 殭屍網路進一步擴大規模。

此外,運行網站的 CMS 平台遭遇了後門感染(WSO Web Shell)。攻擊者通過 WSO Web Shell 修改被攻擊的網站,託管惡意代碼將站點的部分訪客重定向至流量分配系統(TDS),然後由TDS將劫持的網路流量租給其它攻擊者,並將用戶重定向至各種惡意網站,例如虛假的技術支持網站和更新網站。

GuardiCore 公司表示,攻擊者使用的 TDS 系統為 EITest(又被稱為 ROI777)。2018年3月,ROI777 遭到黑客攻擊,其部分數據被泄露到網上後,網路安全公司於4月關閉了該系統。儘管如此,這似乎並沒有阻止 Prowli 殭屍網路的行動步伐。

殭屍網路Prowli感染9000家企業的設備,中國公司較多

受影響區域,顏色越深越嚴重

「賺錢機器」

根據研究人員的說法,攻擊者精心設計並優化了整起行動,Prowli 惡意軟體感染了9000多家公司網路上逾4萬台伺服器和設備,然後利用這些設備卯足勁賺錢,該軟體的受害者遍布全球。

GuardiCore 在報告中提到 Prowli 的攻擊指示器(IoC)和其它詳情,系統管理員可利用這些信息檢查其 IT 網路是否遭遇攻擊。

報告地址:http://t.cn/R1epLIc

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 E安全 的精彩文章:

報告|智慧城市網路威脅挑戰
RTU曝10分漏洞,歐盟能源企業或面臨大範圍DoS攻擊

TAG:E安全 |