KoiMiner挖礦木馬再度活躍 控制者來自某黑客論壇

近期騰訊御見威脅情報中心再次檢測到挖礦木馬KoiMiner活動，此次的樣本專門針對企業SQL Server 伺服器的1433埠爆破攻擊，攻擊成功後會首先植入Zegost遠程控制木馬（知名遠控木馬Gh0st的修改版本，安裝後會導致伺服器被黑客完全控制），控制機器進一步植入挖礦木馬。通過SQL爆破工具的解壓路徑「1433騰龍3.0」進行溯源，發現與攻擊事件相關聯的一個黑客技術論壇（騰龍技術論壇），並通過信息對比確認論指向C2地址的某個可疑域名註冊者與該論壇活躍成員「*aoli**22」為同一人。同時發現了該成員在該論壇下載的挖礦木馬生成器「SuperMiner v1.3.6」生成了此次傳播的挖礦木馬執行文件windows.exe。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！