MIN:騰訊御見：有攻擊者利用 Hadoop Yarn REST API 未授權漏洞攻擊云主機，安裝挖礦木馬等

鏈聞消息，騰訊安全威脅情報中心檢測到有攻擊者利用HadoopYarnRESTAPI未授權命令執行漏洞攻擊云上主機，攻擊成功后執行惡意命令，向系統植入挖礦木馬、IRCBotNet后門、DDoS攻擊木馬，入侵成功后還會使用SSH爆破的方式進一步向目標網絡橫向擴散。攻擊者入侵成功后，會清理系統進程和文件，以清除其他資源占用較高的進程，以便最大化利用系統資源。入侵者同時會配置免密登錄后門，以方便進行遠程控制，入侵者安裝的IRC后門、DDoS木馬具備完整的目標掃描、下載惡意軟件、執行任意命令和對特定目標進行網絡攻擊的能力。通過對木馬家族進行關聯分析，發現本次攻擊活動與永恒之藍下載器木馬關聯度極高，攻擊者使用的攻擊套件與Outlaw僵尸網絡木馬高度一致，但尚不能肯定攻擊活動由這兩個團伙發起。建議用戶盡快修復HadoopYarnRESTAPI未授權命令執行漏洞，避免采用弱口令。

聲音 | 騰訊御見：“老虎”挖礦木馬通過社會工程騙術傳播 已感染北京等地超過5000臺電腦:騰訊安全御見威脅情報中心檢測到通過社會工程騙術傳播的“老虎”挖礦木馬（LaofuMiner）。攻擊者將遠控木馬程序偽裝成“火爆新聞”、“內容”、“隱私資料”、“詐騙技巧”等文件名，通過社交網絡發送到目標電腦，受害者雙擊查看文件立刻被安裝“大灰狼”遠控木馬。攻擊者通過遠控木馬控制中電腦下載挖礦木馬，中電腦隨即淪為礦工，該木馬已感染近5000臺電腦。因其挖礦使用的自建礦池包含字符“laofubtc”，御見威脅情報中心將其命名為老虎挖礦木馬（LaofuMiner），通過騰訊安圖系統溯源，發現這個老虎挖礦木馬同2018年其他安全廠商報告的灰熊挖礦木馬（BearMiner）同屬一個黑產團伙。根據統計數據，老虎挖礦木馬（LaofuMiner）已感染超過5000臺電腦，影響最嚴重地區為北京、廣東、上海、河南、山東等地。[2019/12/5]

動態 | 騰訊御見：嚴重危害北美地區的Ryuk勒索病傳入國內，受害者被勒索11 BTC:7月16日，騰訊御見威脅情報中心發文稱，已監測到在北美地區危害嚴重的Ryuk病在國內已有部分感染。該病的特點之一是傾向于攻擊數據價值較高的政企機構，且贖金普遍極高（最近聯系作者要價11個比特幣，價值約75萬元RMB），Ryuk的勒索家族起源于Hermes家族，最早的活躍跡象可追溯到2018年8月。 由于該病使用RSA+AES的方式加密用戶文件，暫時無法解密，故提醒各政企機構提高警惕。[2019/7/16]

聲音 | 騰訊御見：BuleHero挖礦蠕蟲再出變種，新增4899端口爆破攻擊:據騰訊御見威脅情報中心今日發文稱，最新的BuleHero挖礦蠕蟲新增4899端口(遠程桌面管理工具Remote Administrator使用的默認端口)爆破，增加了NSA武器(除了“永恒之藍”，還使用“永恒浪漫”、“永恒冠軍”)攻擊，使該病在內網橫向傳播的能力得以加強，BuleHero挖礦蠕蟲還會向目標電腦釋放Gh0st修改版遠控木馬。[2019/7/5]

Tags：MINLAOHERNEREagle Mining NetworkLAO幣Cipher CoreTokenRunner

以太坊