你所在的位置: 首页 > 正文

腾讯安全:Agwl病毒团伙盯上Linux系统,挖矿、DDoS、删库勒索无恶不作

2020-01-07 点击:1132

2018年7月,腾讯安全威胁情报中心首次监控Agwl网络犯罪分子入侵一家互助娱乐公司的官方网站服务器。自2019年1月以来,Agwl团体变得越来越活跃,显示出小规模爆发的趋势。大量的挖掘木马被批量植入phpStudy网站服务器。在破解了其网站上使用的默认MySQL弱密码后,挖掘和远程控制木马被植入。

最近,腾讯安全威胁情报中心再次监控并捕捉到阿格沃团伙的踪迹。Linux系统在这次入侵中首次被纳入攻击范围。入侵后,它将下载并运行挖掘脚本、DDoS病毒和勒索病毒。目前,腾讯玉田终端安全管理系统已经完全拦截并击毙了恶意行为。

与其他勒索病毒不同,Agwl在成功登录后勒索钱财前不加密数据,但在成功攻击后直接“杀死”并删除数据库,然后向受害企业用户发送勒索消息索要赎金。一旦一个企业被录用,它不仅无法取回数据,还可能被骗取赎金,并“清点”出资金。与此同时,勒索病毒还会发起挖掘攻击,通过C2获取目标的知识产权段,扫描VNC、瑞星、MySQL等服务器进行爆破攻击,最后通过外壳下载挖掘木马来挖掘门罗币。

(图:阿格沃集团门罗硬币钱包收入)

通过与以往攻击的对比分析,腾讯安全专家指出,在这次恶意攻击中,非法黑客使用的爆破工具的加密方法与1月份发现的挖掘木马样本一致。入侵成功后,攻击者添加了基于Linux系统执行的bash脚本代码s667,并进一步下载木马进行挖掘,然后继续植入DDoS病毒和勒索蠕虫病毒来炸毁服务器。

日期归档
江岸信息网 版权所有© www.qingquan888.cn 技术支持:江岸信息网 | 网站地图