近日，據(jù)多名安全研究人員報告，一個代號Sysrv-hello的加密挖礦僵尸網(wǎng)絡(luò)正在積極掃描易受攻擊的Windows和Linux企業(yè)服務(wù)器，并通過自傳播式惡意軟件載荷感染門羅幣（Monero）挖礦機（XMRig）。

　　該僵尸網(wǎng)絡(luò)于2020年12月開始活躍，今年2月首次被阿里云安全研究人員發(fā)現(xiàn)。3月份該僵尸網(wǎng)絡(luò)的活動激增，先后引起來Lacework Labs和Juniper Threat Labs的安全研究人員的注意。

　　最初，Sysrv-hello僵尸網(wǎng)絡(luò)使用的是帶有礦工和蠕蟲（傳播器）模塊的多組件體系結(jié)構(gòu)，后來升級為使用單個二進制文件，能夠?qū)⑼诘V惡意軟件自動傳播到其他設(shè)備。

　　Sysrv-hello的傳播器組件能夠主動掃描互聯(lián)網(wǎng)，尋找更易受攻擊的系統(tǒng)，利用其可遠程執(zhí)行惡意代碼的漏洞，將受害設(shè)備添加到Monero采礦機器人大軍中。

　　Lacework發(fā)現(xiàn)，攻擊者“正在通過PHPUnit、Apache Solar、Confluence、Laravel、JBoss、Jira、Sonatype、Oracle WebLogic和Apache Struts中注入遠程代碼執(zhí)行漏洞來針對云工作負載，以獲取初始訪問權(quán)限”。

　　Lacework補充說：“橫向移動是通過受害機器上可用的SSH密鑰以及從bash歷史記錄文件，SSH配置文件和known_hosts文件中標(biāo)識的主機進行的。”

　　Sysrv-hello攻擊流程  來源：Lacework

　　Sysrv-hello針對的漏洞

　　Sysrv-hello僵尸網(wǎng)絡(luò)的活動在三月份激增之后，Juniper發(fā)現(xiàn)了六種漏洞，這些漏洞被主動攻擊的惡意軟件樣本利用：

　　Mongo Express RCE（CVE-2019-10758）

　　XML-RPC（CVE-2017-11610）

　　Saltstack RCE（CVE-2020-16846）

　　Drupal Ajax RCE（CVE-2018-7600）

　　ThinkPHP RCE（無CVE）

　　XXL-JOB Unauth RCE（無CVE）

　　該僵尸網(wǎng)絡(luò)過去使用的其他漏洞還包括

　　Laravel（CVE-2021-3129）

　　Oracle Weblogic（CVE-2020-14882）

　　Atlassian Confluence服務(wù)器（CVE-2019-3396）

　　Apache Solr（CVE-2019-0193）

　　PHPUnit（CVE-2017-9841）

　　Jboss應(yīng)用程序服務(wù)器（CVE-2017-12149）

　　Sonatype Nexus存儲庫管理器（CVE-2019-7238）

　　Jenkins暴力破解

　　WordPress暴力破解

　　通過YARN ResourceManager執(zhí)行Apache Hadoop未經(jīng)身份驗證的命令執(zhí)行（無CVE）

　　Jupyter Notebook命令執(zhí)行（無CVE）

　　Tomcat Manager免身份驗證上載命令執(zhí)行（無CVE）