近日，據(jù)多名安全研究人員報(bào)告，一個(gè)代號(hào)Sysrv-hello的加密挖礦僵尸網(wǎng)絡(luò)正在積極掃描易受攻擊的Windows和Linux企業(yè)服務(wù)器，并通過(guò)自傳播式惡意軟件載荷感染門(mén)羅幣（Monero）挖礦機(jī)（XMRig）。

　　該僵尸網(wǎng)絡(luò)于2020年12月開(kāi)始活躍，今年2月首次被阿里云安全研究人員發(fā)現(xiàn)。3月份該僵尸網(wǎng)絡(luò)的活動(dòng)激增，先后引起來(lái)Lacework Labs和Juniper Threat Labs的安全研究人員的注意。

　　最初，Sysrv-hello僵尸網(wǎng)絡(luò)使用的是帶有礦工和蠕蟲(chóng)（傳播器）模塊的多組件體系結(jié)構(gòu)，后來(lái)升級(jí)為使用單個(gè)二進(jìn)制文件，能夠?qū)⑼诘V惡意軟件自動(dòng)傳播到其他設(shè)備。

　　Sysrv-hello的傳播器組件能夠主動(dòng)掃描互聯(lián)網(wǎng)，尋找更易受攻擊的系統(tǒng)，利用其可遠(yuǎn)程執(zhí)行惡意代碼的漏洞，將受害設(shè)備添加到Monero采礦機(jī)器人大軍中。

　　Lacework發(fā)現(xiàn)，攻擊者“正在通過(guò)PHPUnit、Apache Solar、Confluence、Laravel、JBoss、Jira、Sonatype、Oracle WebLogic和Apache Struts中注入遠(yuǎn)程代碼執(zhí)行漏洞來(lái)針對(duì)云工作負(fù)載，以獲取初始訪問(wèn)權(quán)限”。

　　Lacework補(bǔ)充說(shuō)：“橫向移動(dòng)是通過(guò)受害機(jī)器上可用的SSH密鑰以及從bash歷史記錄文件，SSH配置文件和known_hosts文件中標(biāo)識(shí)的主機(jī)進(jìn)行的?！?/p>

　　Sysrv-hello攻擊流程  來(lái)源：Lacework

　　Sysrv-hello針對(duì)的漏洞

　　Sysrv-hello僵尸網(wǎng)絡(luò)的活動(dòng)在三月份激增之后，Juniper發(fā)現(xiàn)了六種漏洞，這些漏洞被主動(dòng)攻擊的惡意軟件樣本利用：

　　Mongo Express RCE（CVE-2019-10758）

　　XML-RPC（CVE-2017-11610）

　　Saltstack RCE（CVE-2020-16846）

　　Drupal Ajax RCE（CVE-2018-7600）

　　ThinkPHP RCE（無(wú)CVE）

　　XXL-JOB Unauth RCE（無(wú)CVE）

　　該僵尸網(wǎng)絡(luò)過(guò)去使用的其他漏洞還包括

　　Laravel（CVE-2021-3129）

　　Oracle Weblogic（CVE-2020-14882）

　　Atlassian Confluence服務(wù)器（CVE-2019-3396）

　　Apache Solr（CVE-2019-0193）

　　PHPUnit（CVE-2017-9841）

　　Jboss應(yīng)用程序服務(wù)器（CVE-2017-12149）

　　Sonatype Nexus存儲(chǔ)庫(kù)管理器（CVE-2019-7238）

　　Jenkins暴力破解

　　WordPress暴力破解

　　通過(guò)YARN ResourceManager執(zhí)行Apache Hadoop未經(jīng)身份驗(yàn)證的命令執(zhí)行（無(wú)CVE）

　　Jupyter Notebook命令執(zhí)行（無(wú)CVE）

　　Tomcat Manager免身份驗(yàn)證上載命令執(zhí)行（無(wú)CVE）