逾4萬台伺服器、數據機等物聯網設備遭 Prowli 殭屍網路感染

GIF

聚焦源代碼安全，網羅國內外最新資訊！

翻譯：360代碼衛士團隊

網路犯罪分子設法組建了一個由4萬多台受感染web伺服器、數據機和其它物聯網設備，用於挖掘密幣並將用戶重定向至惡意站點。

這個網路犯罪分子團伙由GuardiCore 安全團隊發現並被命名為 「Prowli」。該殭屍網路依靠漏洞和憑證暴力攻擊感染並控制設備。

Prowli 組織如何感染受害者

近幾個月來，Prowli 組織已感染如下多種伺服器和設備：

WordPress站點（經由多個利用代碼和管理面板暴力攻擊）

運行K2擴展的Joomla!站點（經由CVE-2018-7482）

多種DSL數據機機型（經由一個著名漏洞）

運行HP數據保護器的伺服器（經由CVE-2014-2623）

暴露SMB埠的Drupal、PhpMyAdmin程序、NFS盒子和伺服器（全部經由暴力憑證猜測）

另外，Prowli 組織還運行著一個 SSH 掃描器模塊，它試圖猜測暴露 SSH 埠的用戶名設備和密碼。

犯罪分子部署密幣挖礦機、後門、SSH 掃描器

伺服器或物聯網設備被攻陷後，Prowli 組織還會判斷是否可利用它們從事密集的密幣挖礦活動。

能夠被用於挖礦的遭攻陷設備受一個門羅幣挖礦機和 r2r2 蠕蟲感染。該蠕蟲能夠執行 SSH 暴力攻擊並幫助 Prowli 殭屍網感染新的受害者。

另外，用於運行網站的 CMS 平台也收到了特殊對待，因為它們也受後門 (WSO Web Shell) 的感染。

犯罪分子利用這種 web shell 修改受攻陷網站以便託管惡意代碼，將某些網站的訪客重定向至流量分發系統 (TDS)，隨後將遭劫持的 web 流量出租給其他犯罪分子並將用戶重定向至所有類型的惡意站點，如技術支持詐騙、虛假的更新站點等。

GuardiCore 公司指出，犯罪分子使用的是 TDS 系統（也被稱為 ROI777）。3月份，ROI777 被黑且數據遭暴露後，網路安全公司在4月份將其拿下。儘管如此，這看似並未阻止 Prowli 組織的步伐。

造錢機器

研究人員指出，整個 Prowli 惡意活動的目的是為犯罪分子謀取最大利益。

在 Prowli惡意軟體存活期間，它共感染位於9000多家公司網路上的4萬多台伺服器和設備，並在被發現前儘可能賺取利潤。Prowli 組織針對的是全球範圍內的受害者，而且所有的底層平台都無法倖免。

https://www.bleepingcomputer.com/news/security/prowli-malware-operation-infected-over-40-000-servers-modems-and-iot-devices/

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！