研究人員發(fā)現(xiàn)，一種新命名為路西法的惡意軟件可以在受感染的設(shè)備上挖掘Monero加密貨幣，然后利用受害者設(shè)備發(fā)動(dòng)DDoS攻擊。

Palo Alto Networks的42位研究人員發(fā)現(xiàn)了一種新的“混合加密劫持惡意軟件”，本想將其命名為Satan DDoS，但由于Satan Ransomware已經(jīng)存在，因此Palo Alto研究人員選擇將其命名為L(zhǎng)ucifer。

[[333769]]

路西法(Lucifer)惡意軟件能夠發(fā)起DDoS攻擊，并可以使用各種系統(tǒng)常見(jiàn)的自然漏洞來(lái)攻擊易受攻擊的Windows主機(jī)，這些主機(jī)大多數(shù)漏洞被評(píng)為“高”或“嚴(yán)重”。

該活動(dòng)的第一波浪潮于2020年6月10日被Palo Alto Networks阻止，但攻擊者第二天就使用Lucifer惡意軟件的升級(jí)版繼續(xù)進(jìn)行攻擊，通過(guò)挖掘加密貨幣并利用受害者作為肉雞發(fā)起了強(qiáng)烈的DDoS攻擊，總之他們的破壞力很強(qiáng)。

Palo Alto Networks的研究人員觀察到，Lucifer的新變體功能非常強(qiáng)大，因?yàn)樗ㄟ^(guò)拋棄XMRig來(lái)挖掘Monero加密貨幣來(lái)執(zhí)行加密劫持，連接到C&C服務(wù)器，并通過(guò)利用多個(gè)漏洞以及啟動(dòng)憑據(jù)強(qiáng)制執(zhí)行來(lái)實(shí)現(xiàn)自傳播。

Lucifer是加密劫持和DDoS惡意軟件變種的新混合產(chǎn)物，利用舊漏洞在Windows平臺(tái)上傳播和執(zhí)行惡意活動(dòng)。

此外，它可以針對(duì)易受攻擊的設(shè)備丟棄/運(yùn)行泄漏的NSA漏洞，包括DoublePulsar，EternalBlue和EternalRomance，以實(shí)現(xiàn)Intranet感染。

一旦被利用，攻擊者就可以在易受攻擊的設(shè)備上執(zhí)行任意命令。在這種情況下，目標(biāo)是在網(wǎng)絡(luò)中可用的Windows主機(jī)，因?yàn)楣粽哒诶糜行ж?fù)載中的certutil程序?qū)嵤阂廛浖鞑ァ?rdquo;研究人員在博客中說(shuō)道。

NSA的實(shí)際利用(截圖)：

目標(biāo)安全漏洞為CVE-2014-6287、CVE-2018-1000861、CVE-2017-10271、CVE-2018-20062、CVE-2018-7600、CVE-2017-9791、CVE-2019-9081、PHPStudy后門RCE、CVE-2017-0144、CVE-2017-0145和CVE-2017-8464。

盡管解決這些問(wèn)題的軟件更新程序已經(jīng)發(fā)布了一段時(shí)間，但許多系統(tǒng)仍未打補(bǔ)丁，面臨攻擊風(fēng)險(xiǎn)，黑客成功利用漏洞可在目標(biāo)計(jì)算機(jī)上執(zhí)行代碼。

該惡意軟件包含三個(gè)資源部分，每個(gè)資源部分都包含一個(gè)用于特定目的的二進(jìn)制文件：XMRig 5.5.0的x86和x64 UPX壓縮版本，以及Equation Group漏洞(EternalBlue和EternalRomance，以及DoublePulsar后門植入物)。

[[333770]]

該惡意軟件升級(jí)版與其以前的版本具有相同行為，但另有防沙箱功能，可根據(jù)預(yù)定義的列表滲透受感染主機(jī)的用戶及計(jì)算機(jī)名稱、是否存在特定設(shè)備驅(qū)動(dòng)程序、DLL和虛擬設(shè)備，如果找到匹配項(xiàng)，則會(huì)暫停操作。它還擁有反調(diào)試器功能。

好消息是，它們無(wú)法攻擊安裝新進(jìn)安全漏洞補(bǔ)丁程序的Windows系統(tǒng)，也就是說(shuō)，未更新的主機(jī)容易受到加密劫持的攻擊。研究人員敦促用戶立即應(yīng)用最新補(bǔ)丁和更新以保護(hù)其設(shè)備。