外媒 3 月 12 日消息，来自 ISC SANS 组织和安全公司 Imperva 的研究人员发现了两个针对 Windows Server、Redis 以及 Apache Solr 服务器的恶意活动 — 攻击者试图针对这些未打补丁的服务器安装加密货币矿工。 第一个活动被称为 RedisWannaMine，主要针对的目标对象是 Redis 和 Windows Server 服务器。研究人员发现攻击者通过大规模的网络扫描来寻找运行过时 Redis 版本的系统，以触发 CVE-2017-9805 漏洞。 研究人员观察到，RedisWannaMine 通过执行脚本来下载一个公共可用的工具 masscan ，在将其存储到 Github 存储库后，编译并安装它。一旦获得访问主机的权限，攻击者将放弃 ReddisWannaMine 恶意软件作为第一阶段 playload，并安装第二阶段的加密货币矿工。 RedisWannaMine 通过 EternalBlue （永恒之蓝）进行传播，并且具有类似蠕虫的行为， 但它在逃避技术和功能方面更为复杂：RedisWannaMine 结合先进的攻击手段来增加感染率，从而获取更大的利益。除此之外，ReddisWannaMine 活动也显示了其自传播蠕虫的经典行为模式。 第二次采矿活动是通过利用 CVE-2017-12629 漏洞攻击 Apache Solr 服务器。根据 ISC SANS 发布的分析报告，在 2 月 28 日至 3 月 8 日这段时间内，这场活动共感染了 1777 个服务器， 其中有 1416个 是 Apache Solr。 研究人员认为这两项活动都只是冰山一角，未来还会出现越来越多针对加密货币行业的攻击事件。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 2 月1 日报道，安全公司 CrowdStrike 发现了一款名为 WannaMine 的新型 Monero 加密挖掘蠕虫，其利用与 NSA 相关的 EternalBlue （“ 永恒之蓝 ” ）漏洞进行传播。据研究人员测试，WannaMine 能够感染从 Windows 2000 起的所有 Windows 系统（包括 64 位版本和 Windows Server 2003），并使其设备性能明显下降。 CrowdStrike 称目前一些矿业的日常运营已受到 WannaMine 影响，比如由于如此高的 CPU 利用率，导致矿业公司的系统以及应用程序崩溃。 研究人员经过分析后发现 WannaMine 的恶意代码十分复杂，因为它实现了一种类似于国家赞助的 APT 组织所使用的扩散机制和持久性模型。更详细地解释是：WannaMine 利用 Windows 管理工具( WMI )永久事件订阅来在受感染的系统上获得持久性。当注册一个永久事件订阅后，WannaMine 将在事件使用者中每 90 分钟执行一个 PowerShell 命令。 研究人员注意到，WannaMine 使用凭证收割机 Mimikatz 来收集用户凭据，从而达到横向移动的目的，但如果不能够横向移动的话，WannaMine 将更依赖于 EternalBlue 的利用。 相关报告： <Threat Hunting, the Investigation of Fileless Malware Attacks> 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

勒索软件 WannaCry 于上月引发全球关注，它利用 Shadow Brokers 泄漏的 NSA 漏洞代码 EternalBlue 进行传播。EternalBlue 主要针对的是 Windows XP 和Windows 7。 目前，RiskSense 研究人员宣布，他们已经将 EternalBlue 移植到 Windows 10，但短时间他们不会公开 Windows 10 版本源代码。研究人员在一份报告（PDF）中解释说，开发 Windows 10 版本是必要的，旨在帮助防御者利用漏洞构建防御机制。 此外，研究人员表示，安装微软释出的补丁 MS17-010 仍然是目前防御 EternalBlue 的最佳方法。 稿源：cnBeta、solidot奇客，封面源自网络