数据中心和云安全公司Guardicore Labs的一份报告称,被誉为传播最迅速的僵尸网络恶意软件之一的Smominru几乎影响了Windows计算机。报告称,每天检测到感染了这种计算机恶意软件的计算机高达47,000台,仅在8月,就感染了将近90,000台计算机。
Smominru是一个可以追溯到2017年的僵尸网络,它的变种也以其他名字为人所知,包括Hexmen和Mykings。众所周知,它提供了大量的有效负载,包括凭证盗窃脚本、后门、木马和加密货币挖掘程序。
根据研究人员的说法,Smominru僵尸网络至少从2017年5月开始运行,目前至少已经感染了52.6多万台计算机,其中大部分被认为是未打补丁的Windows服务器。经过研究人员的确认,Smominru的运营团队开采的速率达到约每天24个门罗币。
GuardiCore 在此前发布的报告中表示,有强大的证据表明 Smominru 的操纵者来自中国大陆,而 Proofpoint 表示多数僵尸网络的IP扫描器是从 AS63199 (基于美国的网络)操作的。Proofpoint 公司还指出,Smominru 目前是 Adylkuzz 僵尸网络规模的近两倍之大,后者是首个利用“永恒之蓝”漏洞的恶意软件家族(甚至早于 WannaCry),它也是门罗币挖矿僵尸网络。
在其攻击过程中,Smominru除了使用NSA漏洞——EternalBlue(永恒之蓝)来进行攻击,还对各种协议(包括MS-SQL、RDP和Telnet)使用蛮力攻击和凭证填充攻击来访问新机器。该恶意软件主要被用来窃取目标的凭据,然后安装挖矿软件和Trojan模块以破坏网络。成功感染一台机器后,恶意软件会横向移动,以影响目标组织内部尽可能多的系统。
据报道,美国、俄罗斯、中国、台湾和巴西的攻击次数最多,但是其他国家仍然同样容易受到计算机恶意软件的攻击,因为计算机恶意软件在最近几年呈上升趋势。Smominru的攻击并不针对特定的组织或行业,但美国的受害者包括高等教育机构、医疗公司,甚至网络安全公司。
超过半数(55%)受感染的计算机运行Windows Server 2008,约三分之一运行Windows 7(30%)。这很有意思,因为微软仍然支持这些版本的Windows,并接收安全更新。未打补丁的系统可以让这场运动感染全球无数台机器,并在内部网络中传播。因此,操作系统与当前可用的软件更新保持一致是至关重要的。
根据调查,公司管理员未能及时修补其计算机网络和服务器是导致网络遭到破坏的主要原因之一。然而,安全从来就没有说的那么简单。因此,在数据中心或组织中应用额外的安全措施非常重要。网络微分割检测可能的恶意互联网流量以及限制暴露在互联网上的服务器都是维护强大安全态势的关键。
内容来源于mottoin
