行业新闻与博客

安全研究人员发现了一种隐形的新加密货币挖掘恶意软件变种，它被用作几乎感染整个组织的攻击的一部分。

在收到客户组织中不稳定应用程序和网络速度下降的通知后，安全公司 Varonis 决定进一步调查。

“几乎每个服务器和工作站都感染了恶意软件。大多数是密码学家的通用变体。有些是密码转储工具，有些是隐藏的 PHP shell，有些已经存在了几年，“它在博客文章中解释道。

“在我们发现的所有密码学家样本中，有一个脱颖而出。我们把它命名为'Norman'。“

Norman 是 Monero 货币的高性能矿工，与其隐藏的复杂尝试中发现的许多其他样品不同。

不同寻常的是，它是使用 Nullsoft Scriptable Install System（NSIS）编译的，这是一个通常用于创建 Windows 安装程序的开源系统。

Varonis 说，注入有效载荷旨在执行一个加密货币矿工并保持隐藏状态。

当好奇的用户打开任务管理器时，它通过终止矿工功能来避免检测。一旦关闭，它将重新注入矿工并重新开始。

矿工本身是 XMRig，由 UPX 在恶意软件中进行模糊处理，并根据执行路径注入到记事本或资源管理器中。

Varonis 认为，它发现的加密货币挖掘恶意软件可以链接到它在受害者组织中不断连接到命令和控制（C2）服务器的 PHP shell。与 Norman 一样，PHP shell 使用 DuckDNS 进行 C2 通信。

“没有任何恶意软件样本具有任何横向移动能力，尽管它们分布在不同的设备和网络段上，”该公司解释说。“虽然威胁行为者可能单独感染每个主机（可能通过初始感染中使用的相同载体），但使用 PHP-Shell 横向移动并感染受害者网络中的其他设备会更有效。”

但是，它还声称两者之间没有编码相似性，或加密挖掘恶意软件和 PHP shell 之间的通信功能。

鉴于某些代码中存在语言，恶意软件作者可能会说法语。

Varonis 敦促企业担心加密：保持操作系统的最新状态; 监控网络流量和网络代理; 在端点上维护反病毒; 密切关注 DNS 和 CPU 活动; 准备并测试事故响应计划。

非常感谢您对亚洲注册的支持与信任！

禁止转载