逾50萬台Windows伺服器淪為Monero挖礦機,台灣為第三大受災區

又有挖礦程式企圖利用Windows伺服器。安全研究公司Proofpoint發現名為Smominru的殭屍網路程式感染超過50萬台連網Windows伺服器,利用它們來挖Monero幣。而台灣則名列三大節點集中區。

Smominru又被稱為Ismo,它從2017年5月就開始在網路上利用美國國家安全局(NSA)外流的攻擊工具EternalBlue,開採Windows漏洞CVE-2017-0144散佈、入侵Windows 伺服器,然後利用受害機器來挖Monero幣。才不過一個月前國安局才被影子掮客駭入公佈EternalBlue等多項攻擊工具。而WannaCry也是約莫同時利用EternalBlue攻擊全球上百萬電腦。

ProofPoint研究人員指出,Smominru最特殊的是它使用Windows Management Infrastructure來散佈。他們根據Monero幣顯示的挖礦算力(hash power)來判斷,被Smominru收編到殭屍網路的機器約是去年5月為害的Adylkuzz的兩倍之多。攻擊者已經透過Smominru挖到將近8,900個Monero幣,本周兌換美元價值約為280萬到360萬美元。它每天可以挖24個Monero幣,等於每周賺進8,500美元。

研究人員利用sinkholing手法來分析殭屍網路規模及節點位置,判斷Smominru感染了超過52.6萬台Windows主機以建立殭屍網路,其中多半為伺服器,這些機器分佈各地,但密度最高地區依序為俄羅斯、印度及台灣。

《全文請見iThome(https://www.ithome.com.tw/news/121078)》
行動版 電腦版