INE:騰訊御見：京廣多地超2萬臺電腦被挖礦，攻擊者利用永恒之藍漏洞橫向擴散

騰訊御見威脅情報中心檢測到挖礦木馬家族Lcy2Miner感染量上升，工程師對該病的感染進行回溯調查。結果發現，有攻擊者搭建多個HFS服務器提供木馬下載，并在其服務器web頁面構造IE漏洞攻擊代碼。當存在漏洞的電腦被誘騙訪問攻擊網頁時，會觸發漏洞下載大灰狼遠程控制木馬。接著由遠控木馬下載門羅幣挖礦木馬和“永恒之藍”漏洞攻擊模塊，然后利用“永恒之藍”漏洞攻擊工具在企業內網攻擊傳播，最終攻擊者通過組建僵尸網絡挖礦牟利。截止目前該團伙已通過挖礦獲得門羅幣147個，市值約6.5萬元人民幣。數據顯示，該團伙控制的Lcy2Miner挖礦木馬已感染超過2萬臺電腦，影響眾多行業，互聯網服務、批發零售業、科技服務業位居前三。從病感染的地區分布來看，Lcy2Miner挖礦木馬在全國大部分地區均有感染，受害最嚴重的地區為北京、廣東、河南等地。

騰訊御見：WatchBogMiner變種挖礦木馬已挖到28個門羅幣:騰訊安全威脅情報中心檢測到針對Linux服務器進行攻擊的WatchBogMiner變種挖礦木馬。該木馬利用Nexus Repository Manager、Supervisord、ThinkPHP等服務器組件的遠程代碼執行漏洞進行攻擊，在失陷機器安裝多種類型的持久化攻擊代碼，然后植入門羅幣挖礦木馬進行挖礦。騰訊安全專家根據木馬使用的算力資源推測已有上萬臺Linux服務器被黑客控制，已挖到28個門羅幣，收益約1.3萬元。[2020/7/22]

聲音 | 騰訊御見：挖礦資源爭奪加劇，WannaMine多種手法驅趕競爭者:騰訊御見威脅情報中心今日發文表示，騰訊安全御見威脅情報中心檢測到WannaMine挖礦僵尸網絡再度更新，WannaMine最早于2017年底被發現，主要采用Powershell“無文件”攻擊組成挖礦僵尸網絡。更新后的WannaMine具有更強的傳播性，會采用多種手法清理、阻止競爭木馬的挖礦行為，同時安裝遠控木馬完全控制中系統。更新后的WannaMine病具有以下特點：

1.利用“永恒之藍”漏洞攻擊傳播；

2.利用mimiktaz抓取域登錄密碼結合WMI的遠程執行功能在內網橫向移動；

3.通過添加IP策略阻止本機連接對手木馬的47個礦池，阻止其他病通過“永恒之藍”漏洞入侵；

4.添加計劃任務，WMI事件消費者進行持久化攻擊，刪除“MyKings”病的WMI后門；

5.利用COM組件注冊程序regsvr32執行惡意腳本；

6.利用WMIClass存取惡意代碼；

7.在感染機器下載Gh0st遠控木馬conhernece.exe和門羅幣挖礦木馬steam.exe。[2020/1/7]

動態 | 騰訊御見：警惕Medusalocker勒索變種攻擊企業，中被勒索1比特幣:據騰訊御見威脅情報中心監測，Medusalocker勒索病在國內有部分感染，該病出現于2019年10月，已知該病主要通過釣魚欺詐郵件及垃圾郵件傳播。該病早期版本加密文件完成后添加擴展后綴.encrypted，最新傳播病版本加密文件后添加.ReadTheInstructions擴展后綴。由于病使用了RSA+AES方式對文件進行加密，在未得到作者手中的RSA私鑰時，暫無解密工具。攻擊者會向受害者勒索1BTC（比特幣），市值約6.5萬元。[2019/11/6]

Tags：INEMINEMIN門羅幣Weiner FinanceNominexgemini翻譯中文門羅幣好挖嗎

以太坊