資安公司SophosLabs發現,加密貨幣採礦殭屍網路營運組織MyKings,會將惡意程式嵌入到Taylor Swift的照片中,用來部署各種加密貨幣採礦應用程式的更新。這個稱為MyKings的殭屍網路,又或被稱作DarkCloud和Smominru,主要是以Windows伺服器為目標,中國為主要災區。
MyKings會在網路上對Windows伺服器進行一系列的攻擊,這些伺服器託管各種服務,包括MySQL、Telnet、ssh、遠程桌面甚至是CCTV攝影機的儲存伺服器等。當管理員沒有即時替伺服器安裝更新補丁,就可能存在漏洞遭到入侵,MyKings攻擊者會在伺服器安裝一個稱為Forshare的木馬。
官方提到,他們研究發現受感染的端點約有43,900個不重複的IP地址,這些數量還是僅紀錄具有公共IP位址的端點,使用本地端IP的端點沒有在計算範圍。這些端點散布在中國、臺灣、俄羅斯、巴西、美國、印度和日本七個國家。
雖然殭屍網路本身並沒有什麼特別之處,尤其是用來挖礦的殭屍網路還算常見,但特別的是,MyKings的攻擊手法不斷推陳出新,現在使用了隱寫術(Steganography)以圖檔隱藏惡意的Windows可執行檔,試圖騙過安全偵測軟體的檢查。MyKings攻擊者將經過變造的Taylor Swift圖片上傳到公共儲存庫上,為殭屍網路提供更新,由於伺服器不會將圖檔視作惡意檔案,因此增加了通過偵測的機會。
研究人員表示,MyKings還透過重複機制增加自己的存活能力,MyKings由多個元件組成,每個元件都執行相似的自我更新程序,並使用各種命令組合不停地重複執行各種工作,即便電腦刪除了殭屍網路中大多數的元件,剩下的元件也可以透過自我更新,完全恢復所有的功能。
MyKings殭屍網路目前已經賺走了虛擬貨幣Monero 9000 XMR,折合貨幣價值約為300萬美元,研究人員提到MyKings殭屍網路收入現在每天只有約為300美元,這是因為Monero匯率較低的原因。
線