1.概述

---

挖礦木馬通過各種手段將挖礦程序植入受害者的計算機(jī)中，在用戶不知情的情況下，利用受害者計算機(jī)的運(yùn)算能力進(jìn)行挖礦，從而獲取非法收益。目前已知多個威脅組織（例如，H2Miner、“8220”等）傳播挖礦木馬，致使用戶系統(tǒng)資源被惡意占用和消耗、硬件壽命被縮短，嚴(yán)重影響用戶生產(chǎn)生活，妨害國民經(jīng)濟(jì)和社會發(fā)展。2024年，安天CERT捕獲了多起挖礦木馬的攻擊活動，現(xiàn)將2024年典型的挖礦木馬梳理形成組織/家族概覽，進(jìn)行分享。

表1-1 2024年活躍挖礦木馬組織/家族概覽

2.挖礦木馬的危害

---

1. 加重信息系統(tǒng)基礎(chǔ)設(shè)施資源消耗與運(yùn)行風(fēng)險：挖礦木馬普遍消耗信息系統(tǒng)基礎(chǔ)設(shè)施的大量資源，使操作系統(tǒng)及其服務(wù)、應(yīng)用軟件運(yùn)行緩慢，甚至造成正常服務(wù)崩潰，產(chǎn)生承載業(yè)務(wù)中斷、業(yè)務(wù)數(shù)據(jù)丟失等一系列負(fù)面影響；

2. 危害信息系統(tǒng)基礎(chǔ)設(shè)施使用壽命與運(yùn)行性能：挖礦木馬迫使信息系統(tǒng)基礎(chǔ)設(shè)施長時間高負(fù)載運(yùn)行，致使其使用壽命縮短，運(yùn)行性能嚴(yán)重下降；

3. 留置后門，衍生僵尸網(wǎng)絡(luò)：挖礦木馬普遍具有添加SSH免密登錄后門、安裝RPC后門，接收遠(yuǎn)程IRC服務(wù)器指令、安裝Rootkit后門等惡意行為，致使受害組織網(wǎng)絡(luò)淪為僵尸網(wǎng)絡(luò)；

4. 作為攻擊跳板，攻擊其他目標(biāo)：挖礦木馬支持攻擊者控制受害者服務(wù)器進(jìn)行DDoS攻擊，以此服務(wù)器為跳板，攻擊其他計算機(jī)，或者釋放勒索軟件索要贖金等。

3.挖礦木馬趨勢

---

3.1 BYOVD攻擊成挖礦木馬“新寵”

在2024年的挖礦木馬事件應(yīng)急響應(yīng)中，安天CERT發(fā)現(xiàn)挖礦木馬利用BYOVD（Bring Your Own Vulnerable Driver）攻擊結(jié)束安全軟件進(jìn)程的案例增多。BYOVD攻擊是APT中常見的攻擊技術(shù)，現(xiàn)在挖礦攻擊中也逐漸開始利用這種技術(shù)。它利用合法但存在漏洞的驅(qū)動程序來執(zhí)行惡意操作，繞過安全防護(hù)措施。驅(qū)動程序運(yùn)行在高權(quán)限的內(nèi)核模式，攻擊者可以通過其漏洞實(shí)現(xiàn)多種攻擊目的。在挖礦攻擊中，攻擊者通過濫用合法安全廠商簽名的驅(qū)動程序，繞過操作系統(tǒng)的安全機(jī)制，為挖礦活動提供支撐。這種手法不僅提升了攻擊的隱蔽性，還利用安全軟件的高權(quán)限執(zhí)行能力，大幅增強(qiáng)了惡意挖礦的資源占用效率。在未來，BYOVD攻擊可能與零日漏洞利用相結(jié)合，進(jìn)一步提高攻擊的復(fù)雜性和破壞性。這一趨勢對政企安全提出更高的要求，防護(hù)重點(diǎn)應(yīng)包括驅(qū)動程序的合法性檢測與運(yùn)行時行為監(jiān)控等。

3.2 暗網(wǎng)礦池地址的興起

2024年，安天CERT在監(jiān)測挖礦攻擊中發(fā)現(xiàn)個別挖礦木馬采用了暗網(wǎng)地址進(jìn)行挖礦的事件，如Perfctl惡意軟件利用TOR進(jìn)行挖礦，Outlaw挖礦僵尸網(wǎng)絡(luò)在配置文件中添加了暗網(wǎng)地址，但還未開發(fā)出tor進(jìn)行連接。這一趨勢表明，攻擊者正在加速向更隱秘、更難追蹤的挖礦方式轉(zhuǎn)型，以逃避傳統(tǒng)安全防護(hù)和執(zhí)法行動的打擊。通過Tor網(wǎng)絡(luò)或其他匿名通信協(xié)議，礦池運(yùn)營者能夠有效隱藏其真實(shí)位置和身份，難以被執(zhí)法部門定位和取締。暗網(wǎng)礦池普遍采用加密貨幣作為支付手段，結(jié)合匿名錢包技術(shù)，實(shí)現(xiàn)了攻擊收益的完全匿名化。隨著暗網(wǎng)礦池技術(shù)的不斷成熟，傳統(tǒng)基于互聯(lián)網(wǎng)的挖礦威脅檢測手段將變得無效。政企需調(diào)整防護(hù)策略，關(guān)注挖礦通信的特征分析和暗網(wǎng)流量的異常檢測。

3.3 合理資源分配致用戶難以感知

2024年，挖礦木馬在資源利用上更加智能化，表現(xiàn)為更合理的資源分配策略。如app Miner挖礦木馬會檢查系統(tǒng)環(huán)境是否有curl、Python、Perl等工具，如果沒有會進(jìn)行下載適配，在不同的系統(tǒng)上動態(tài)的調(diào)整CPU的功率或資源使用參數(shù)。Outlaw挖礦僵尸網(wǎng)絡(luò)會獲取目標(biāo)主機(jī)的系統(tǒng)架構(gòu)，根據(jù)系統(tǒng)架構(gòu)調(diào)整默認(rèn)線程數(shù)，arm架構(gòu)線程數(shù)設(shè)置為75，i686架構(gòu)線程數(shù)設(shè)置為325，其他架構(gòu)默認(rèn)線程數(shù)為475。這種趨勢不僅提升了挖礦效率，還極大地增強(qiáng)了挖礦木馬被發(fā)現(xiàn)感知的風(fēng)險。智能化資源分配根據(jù)系統(tǒng)負(fù)載動態(tài)調(diào)整CPU和GPU的使用率，避免引起設(shè)備異常或用戶注意。挖礦進(jìn)程被設(shè)計為低優(yōu)先級任務(wù)，在設(shè)備閑置時充分利用資源，而在用戶活躍時降低消耗，從而延長挖礦周期。這種智能化資源分配的趨勢使挖礦木馬更具隱蔽性和持續(xù)性，成為網(wǎng)絡(luò)威脅防護(hù)的難點(diǎn)。

活躍挖礦木馬介紹

---

4.1 “8220”

“8220”是一個長期活躍并且擅長使用漏洞進(jìn)行攻擊并部署挖礦程序的組織，該組織早期使用Docker鏡像傳播挖礦木馬，后來逐步利用多個漏洞進(jìn)行攻擊，如WebLogic漏洞、Redis未授權(quán)訪問漏洞、Hadoop Yarn未授權(quán)訪問漏洞和Apache Struts漏洞等。在2020年發(fā)現(xiàn)該組織開始使用SSH暴力破解進(jìn)行橫向攻擊傳播。自Apache Log4j 2遠(yuǎn)程代碼執(zhí)行漏洞曝光后，該組織利用該漏洞制作漏洞利用腳本進(jìn)行傳播，影響范圍廣。

4.1.1 組織概覽

表4-1 “8220”挖礦組織介紹

4.1.2 典型案例

● 針對Oracle WebLogic漏洞的攻擊活動分析

Water Sigbin(8220 Gang)是一個專注于部署加密貨幣挖礦惡意軟件的威脅行為者，它積極針對Oracle WebLogic服務(wù)器。該威脅行為者利用Oracle WebLogic Server中的漏洞（特別是CVE-2017-3506和CVE-2023-21839）通過PowerShell腳本部署加密貨幣挖礦程序。研究人員分析了用于傳遞PureCrypter加載器和XMRIG加密挖掘器的多階段加載技術(shù)。此活動期間使用的所有有效載荷均使用.Net Reactor（一種.NET代碼保護(hù)軟件）進(jìn)行保護(hù)，以防止逆向工程。此保護(hù)會混淆代碼，使防御者難以理解和復(fù)制。此外，它還采用了反調(diào)試技術(shù)。有效載荷是通過利用CVE-2017-3506來傳遞的^[1]。

● 8220挖礦團(tuán)伙的新玩具：k4spreader

2024年6月17號研究人員發(fā)現(xiàn)了一個VT 0檢測的使用c語言編寫的ELF樣本，這個樣本使用變形的upx加殼，脫殼后得到了另一個變形的upx加殼的elf文件，使用cgo的方式編寫。經(jīng)過分析發(fā)現(xiàn)這是來自“8220”挖礦團(tuán)伙的新工具，用來安裝其他惡意軟件執(zhí)行，主要是構(gòu)建Tsunami DDoS僵尸網(wǎng)絡(luò)和安裝PwnRig挖礦程序。根據(jù)樣本中的函數(shù)名稱將其命名為“k4spreader”，進(jìn)一步分析了VT的和蜜罐的數(shù)據(jù)后，發(fā)現(xiàn)k4spreader尚處于開發(fā)階段，但已經(jīng)出現(xiàn)3個變種^[2]。

4.2 Outlaw

Outlaw挖礦僵尸網(wǎng)絡(luò)最早于2018年被發(fā)現(xiàn)，主要針對云服務(wù)器實(shí)施挖礦攻擊，持續(xù)活躍。疑似來自羅馬尼亞，最早由趨勢科技將其命名為Outlaw，中文譯文為“亡命徒”。該挖礦僵尸網(wǎng)絡(luò)首次被發(fā)現(xiàn)時，攻擊者使用Perl腳本語言的后門程序構(gòu)建機(jī)器人，因此被命名為“Shellbot”。其主要傳播途徑是SSH暴力破解攻擊目標(biāo)系統(tǒng)并寫入SSH公鑰，以達(dá)到長期控制目標(biāo)系統(tǒng)的目的，同時下載基于Perl腳本語言編寫的后門和開源門羅幣挖礦木馬。

4.2.1 組織概覽

表4-2 Outlaw挖礦僵尸網(wǎng)絡(luò)介紹

4.2.2 典型案例

● Outlaw挖礦僵尸網(wǎng)絡(luò)近期活動分析

安天CERT監(jiān)測到多起Outlaw挖礦僵尸網(wǎng)絡(luò)攻擊事件，該挖礦僵尸網(wǎng)絡(luò)最早于2018年被發(fā)現(xiàn)，主要針對云服務(wù)器從事挖礦活動，持續(xù)活躍。安天CERT在分析近期的攻擊事件中發(fā)現(xiàn)，該挖礦僵尸網(wǎng)絡(luò)樣本在第三版本基礎(chǔ)上有了重要更新，其功能更加多樣、隱匿性更高、清除更加困難。主要傳播途徑和功能依舊是SSH暴力破解攻擊目標(biāo)系統(tǒng)，植入SSH公鑰，以達(dá)到長期控制目標(biāo)系統(tǒng)的目的，同時下載執(zhí)行基于Perl腳本語言編寫的后門和開源門羅幣挖礦木馬，使用掃描和暴力破解工具對其他主機(jī)進(jìn)行相應(yīng)攻擊[3]。

4.3 TeamTNT

TeamTNT挖礦組織最早于2019年被發(fā)現(xiàn)，主要針對Docker Remote API未授權(quán)訪問漏洞、配置錯誤的Kubernetes集群和Redis服務(wù)暴力破解進(jìn)行攻擊。入侵成功后，竊取各類登錄憑證并留下后門，主要利用目標(biāo)系統(tǒng)資源進(jìn)行挖礦并組建僵尸網(wǎng)絡(luò)。經(jīng)過近幾年發(fā)展，該組織控制的僵尸網(wǎng)絡(luò)規(guī)模龐大，所使用的攻擊組件更新頻繁，是目前針對Linux服務(wù)器進(jìn)行挖礦的主要攻擊組織之一。該組織疑似來自德國，其命名方式依據(jù)該組織最早使用teamtnt.red域名進(jìn)行命名。

4.3.1 組織概覽

表4-3 TeamTNT挖礦組織介紹

4.3.2 典型案例

● TeamTNT組織發(fā)起新一輪攻擊活動

研究人員發(fā)現(xiàn)了TeamTNT正在策劃一場新的攻擊活動。在這次攻擊活動中，TeamTNT似乎回歸本源，準(zhǔn)備對云環(huán)境進(jìn)行大規(guī)模攻擊。該組織目前以暴露的Docker守護(hù)進(jìn)程為目標(biāo)，部署Sliver惡意軟件、網(wǎng)絡(luò)蠕蟲和加密礦工，使用受感染的服務(wù)器和Docker Hub作為傳播惡意軟件的基礎(chǔ)設(shè)施。在此次活動中，TeamTNT通過將受感染的Docker實(shí)例附加到Docker Swarm并利用Docker Hub存儲和分發(fā)惡意軟件。他們還將受害者的計算能力出租給第三方，有效地通過加密貨幣挖礦間接賺錢，而無需自己管理。此外，他們還采用了新的黑客工具，用更隱蔽的Sliver惡意軟件取代了傳統(tǒng)的Tsunami后門^[4]。

● 地平線上的烏云：TeamTNT的復(fù)蘇？

研究人員發(fā)現(xiàn)了TeamTNT新的活動影響基于CentOS操作系統(tǒng)的VPS云基礎(chǔ)設(shè)施的明確證據(jù)。調(diào)查顯示，初始訪問是通過對受害者資產(chǎn)進(jìn)行安全外殼(SSH)暴力破解實(shí)現(xiàn)的，在此期間威脅行為者上傳了惡意腳本。惡意腳本在搜索現(xiàn)有礦工時會禁用安全功能、刪除日志并修改系統(tǒng)文件。還會終止加密貨幣挖掘過程、刪除Docker容器并更新Google服務(wù)器的DNS設(shè)置。安裝Diamorphine工具包以實(shí)現(xiàn)隱藏和root權(quán)限，并使用自定義工具來維持持久性和控制。通過修改文件屬性、創(chuàng)建具有root訪問權(quán)限的后門用戶以及刪除命令歷史記錄來鎖定系統(tǒng)，以隱藏其活動^[5]。

4.4 H2Miner

H2Miner挖礦木馬最早出現(xiàn)于2019年12月，爆發(fā)初期及此后一段時間該挖礦木馬都是針對Linux平臺，直到2020年11月后，開始利用WebLogic漏洞針對Windows平臺進(jìn)行入侵并植入對應(yīng)挖礦程序。此外，該挖礦木馬頻繁利用其他常見Web組件漏洞，入侵相關(guān)服務(wù)器并植入挖礦程序。例如，2021年12月，攻擊者利用Log4j漏洞實(shí)施了H2Miner挖礦木馬的投放。

4.4.1 組織概覽

表4-4 H2Miner挖礦組織介紹

4.4.2 典型案例

● Kinsing組織將新披露的漏洞集成到漏洞利用庫中并擴(kuò)展其僵尸網(wǎng)絡(luò)

Kinsing組織將新披露的漏洞集成到漏洞利用庫中并擴(kuò)展其僵尸網(wǎng)絡(luò)。該組織自2019年以來積極策劃非法加密貨幣挖礦活動。近年來，涉及基于Golang的惡意軟件的活動利用了Apache ActiveMQ、Apache Log4j、Apache NiFi、Atlassian Confluence、Citrix、Liferay Portal、Linux、Openfire、Oracle WebLogic Server和SaltStack中的各種缺陷來破壞易受攻擊的系統(tǒng)^[6]。

4.5 Libgcc_a

Libgcc_a挖礦木馬在Linux系統(tǒng)上主要以SSH暴力破解進(jìn)行傳播，在Windows系統(tǒng)上主要以RDP暴力破解進(jìn)行傳播。挖礦木馬在感染受害主機(jī)后，還會進(jìn)行橫向傳播進(jìn)一步感染網(wǎng)內(nèi)其他主機(jī)。利用多種防御手段進(jìn)行反檢測，如會采用開源rootkit工具r77-rootkit，這個工具具有ring 3隱藏功能，可以隱藏文件、目錄、進(jìn)程和CPU的使用情況、注冊表項和值、服務(wù)、TCP和UDP連接、連接點(diǎn)、命名管道和計劃任務(wù)等。另外攻擊者使用開源門羅幣挖礦程序XMRig進(jìn)行挖礦，在Windows平臺利用netpass工具讀取本地明文RDP密碼等。

4.5.1 組織概覽

表4-5 Libgcc_a挖礦組織介紹

4.5.2 典型案例

● Libgcc_a挖礦木馬分析與處置

近期，安天安全服務(wù)中心收到多個用戶安全服務(wù)委托，部署在用戶網(wǎng)內(nèi)的防護(hù)設(shè)備產(chǎn)生了大量暴力破解攻擊告警，同時用戶業(yè)務(wù)系統(tǒng)運(yùn)行卡頓。經(jīng)安天安全服務(wù)中心應(yīng)急響應(yīng)團(tuán)隊取證分析，發(fā)現(xiàn)為感染了Libgcc_a挖礦木馬，該木馬為專門針對Linux系統(tǒng)，可通過SSH弱口令進(jìn)行橫向感染和控制其它主機(jī)，自身隱蔽能力強(qiáng)。感染后動作包括下載挖礦程序挖礦、添加系統(tǒng)后門、內(nèi)網(wǎng)掃描伺機(jī)進(jìn)一步傳染、清除安全軟件和競爭對手等，該木馬功能模塊化、攻擊自動化均較強(qiáng)，在自身持久化、行為隱藏、反偵察等方面有改進(jìn)，感染后傳統(tǒng)方式不易發(fā)現(xiàn)^[7]。

4.6 Perfctl

Perfctl是一種Linux端的惡意軟件，至少在過去三年間一直在感染Linux服務(wù)器和工作站，未被廣泛察覺。該惡意軟件利用漏洞和錯誤配置入侵系統(tǒng)，主要目的是通過服務(wù)器的CPU資源進(jìn)行門羅幣挖礦。Perfctl使用rootkit技術(shù)躲避檢測，利用TOR加密通信隱藏其活動。感染后，惡意軟件不僅會隱藏其進(jìn)程，還會在用戶登錄時停止挖礦，使其難以被察覺。

4.6.1 組織概覽

表4-6 Perfctl挖礦組織介紹

4.6.2 典型案例

● Linux惡意軟件“Perfctl”背后隱藏多年加密貨幣挖礦活動

研究人員發(fā)現(xiàn)，名為“Perfctl”的Linux惡意軟件至少在過去三年間一直在感染Linux服務(wù)器和工作站，未被廣泛察覺。該惡意軟件利用漏洞和錯誤配置入侵系統(tǒng)，主要目的是通過服務(wù)器的CPU資源進(jìn)行門羅幣（Monero）挖礦。Perfctl使用rootkit技術(shù)躲避檢測，利用TOR加密通信隱藏其活動。感染后，惡意軟件不僅會隱藏其進(jìn)程，還會在用戶登錄時停止挖礦，使其難以被察覺。據(jù)估計，數(shù)千臺服務(wù)器已經(jīng)受到感染^[8]。

● 攻擊者利用暴露的Docker API部署Perfctl惡意軟件

研究人員發(fā)現(xiàn)攻擊者通過暴露的Docker遠(yuǎn)程API服務(wù)器部署Perfctl惡意軟件。攻擊者首先探測目標(biāo)服務(wù)器，然后利用Docker API創(chuàng)建特權(quán)容器，執(zhí)行經(jīng)過Base64編碼的惡意載荷。該載荷包含逃逸容器、創(chuàng)建惡意腳本、設(shè)置環(huán)境變量并下載偽裝成PHP擴(kuò)展的惡意二進(jìn)制文件等步驟。此外，攻擊者使用多種規(guī)避檢測技術(shù)，例如檢查重復(fù)進(jìn)程、創(chuàng)建偽裝目錄，并通過自定義下載功能規(guī)避防護(hù)機(jī)制。為實(shí)現(xiàn)持久性，惡意軟件創(chuàng)建了系統(tǒng)服務(wù)或計劃任務(wù)^[9]。

4.7 “匿鏟”

“匿鏟”挖礦木馬從2023年11月開始出現(xiàn)，期間多次升級組件，目前版本為3.0。該挖礦木馬攻擊事件持續(xù)活躍，感染量呈上升態(tài)勢。主要特點(diǎn)是隱蔽性強(qiáng)、反分析、DLL劫持后門和shellcode注入等。在發(fā)現(xiàn)的攻擊活動中，攻擊者利用了兩個比較新穎的技術(shù)以對抗反病毒軟件，第一個技術(shù)是濫用反病毒軟件的舊版本內(nèi)核驅(qū)動程序中的功能來結(jié)束反病毒軟件和EDR，這個技術(shù)通過一個主體的PowerShell腳本、一個獨(dú)立的PowerShell腳本和一個控制器（內(nèi)存加載的小型可執(zhí)行文件）來完成，主體的PowerShell腳本用于下載并安裝反病毒軟件的舊版本內(nèi)核驅(qū)動程序，獨(dú)立的PowerShell腳本用于解密并內(nèi)存加載控制器，控制器用來控制內(nèi)核驅(qū)動程序。雖然被濫用的舊版本內(nèi)核驅(qū)動程序早已更新，但目前仍能被非法利用并有效結(jié)束大多數(shù)反病毒軟件。第二個技術(shù)是利用MSDTC服務(wù)加載后門DLL，實(shí)現(xiàn)自啟動后門，達(dá)到持久化的目的。這個技術(shù)利用了MSDTC服務(wù)中MTxOCI組件的機(jī)制，在開啟MSDTC服務(wù)后，該組件會搜索oci.dll，默認(rèn)情況下Windows系統(tǒng)不包含oci.dll。攻擊者會下載后門DLL重命名為oci.dll并放在指定目錄下，通過PowerShell腳本中的命令創(chuàng)建MSDTC服務(wù)，這樣該服務(wù)會加載oci.dll后門，形成持久化操作。

4.7.1 組織概覽

表4-7 “匿鏟”挖礦組織介紹

4.7.2 典型案例

● “匿鏟”挖礦木馬活動分析

“匿鏟”挖礦木馬首先會從放馬服務(wù)器上下載名為“get.png”的PowerShell腳本，解碼后執(zhí)行哈希驗(yàn)證、創(chuàng)建計劃任務(wù)、禁用系統(tǒng)自帶殺毒軟件和創(chuàng)建服務(wù)等操作。之后會下載“kill.png”腳本和“delete.png”、“kill(1).png”兩個壓縮文件，腳本解碼出shellcode代碼，shellcode代碼經(jīng)過解密得到控制器（一個可執(zhí)行文件）并注入到powershell.exe進(jìn)程中，兩個壓縮文件經(jīng)過解壓縮得到反病毒廠商的舊版本內(nèi)核驅(qū)動程序“aswArPots.sys”和“IObitUnlockers.sys”，由控制器調(diào)用，終止殺毒軟件和EDR程序等。還會根據(jù)受害主機(jī)自身系統(tǒng)型號下載對應(yīng)的“86/64.png”的壓縮文件，解壓縮后會得到oci.dll文件，通過MSDTC服務(wù)調(diào)用實(shí)現(xiàn)DLL劫持后門。在“get.png”腳本中還看到了下載“backup.png”腳本的地址，但下載函數(shù)還未實(shí)現(xiàn)，可能后續(xù)版本會加，該腳本主要功能是發(fā)送心跳接收命令等。最后“get.png”腳本會下載“smartsscreen.exe”程序，該程序會下載挖礦程序及其組件進(jìn)行挖礦^[10]。

● 隱形礦工：揭秘GHOSTENGINE的加密貨幣挖礦行動

研究人員已發(fā)現(xiàn)一個入侵集，其中包含多個惡意模塊，并利用易受攻擊的驅(qū)動程序來禁用已知的安全解決方案(EDR)以進(jìn)行加密挖掘。此外，該團(tuán)隊還發(fā)現(xiàn)了建立持久性、安裝以前未記錄的后門以及執(zhí)行加密挖掘程序的功能。研究人員將此入侵集稱為REF4578，將主要有效載荷稱為GHOSTENGINE^[11]。

4.8 RedTail

RedTail挖礦木馬是一種利用系統(tǒng)漏洞進(jìn)行傳播并實(shí)施加密貨幣挖掘的惡意軟件。它通過多種高危漏洞（如Palo Alto Networks防火墻漏洞、TP-Link路由器漏洞等）入侵目標(biāo)系統(tǒng)，并植入XMRig挖礦程序的變種，挖掘門羅幣。該木馬具有高度隱蔽性，采用加密配置、反調(diào)試技術(shù)以及動態(tài)調(diào)整挖礦參數(shù)等方式，避免被輕易發(fā)現(xiàn)并確保挖礦效率。它還支持多平臺架構(gòu)，能夠根據(jù)系統(tǒng)資源優(yōu)化自身運(yùn)行。RedTail不僅會占用大量系統(tǒng)資源，導(dǎo)致設(shè)備運(yùn)行緩慢、電費(fèi)增加，還可能成為攻擊者進(jìn)一步入侵的入口，帶來嚴(yán)重的安全隱患。

4.8.1 組織概覽

表4-8 RedTail挖礦組織介紹

4.8.2 典型案例

● RedTail挖礦組織利用PAN-OS(CVE-2024-3400)漏洞展開攻擊

2024年5月，研究人員披露，RedTail挖礦組織已經(jīng)將Palo Alto的PAN-OS CVE-2024-3400漏洞納入其攻擊工具包。該漏洞允許攻擊者通過操控SESSID cookie，利用路徑遍歷技術(shù)在受害系統(tǒng)上創(chuàng)建任意文件，并執(zhí)行命令。此次攻擊的目標(biāo)包括IoT設(shè)備（如TP-Link路由器）、ThinkPHP內(nèi)容管理系統(tǒng)、以及Ivanti Connect Secure和Palo Alto GlobalProtect等安全設(shè)備。攻擊者通過多個漏洞傳播惡意軟件，最終目的是加密挖掘Monero（XMR）數(shù)字貨幣^[12]。

參考資料

---

[1] TREND.Examining Water Sigbin's Infection Routine Leading to an XMRig Cryptominer[R/OL].(2024-06-28)

https://www.trendmicro.com/en_us/research/24/f/water-sigbin-xmrig.html

[2] 奇安信.8220挖礦團(tuán)伙的新玩具：k4spreader[R/OL].(2024-06-25)

https://blog.xlab.qianxin.com/8220-k4spreader-new-tool-cn/

[3] 安天.Outlaw挖礦僵尸網(wǎng)絡(luò)近期活動分析[R/OL].(2025-01-10)

http://www.8rpec4.com/research/notice&report/research_report/Outlaw_Analysis.html

[4] aqua.TeamTNT’s Docker Gatling Gun Campaign[R/OL].(2024-10-25)

https://www.aquasec.com/blog/threat-alert-teamtnts-docker-gatling-gun-campaign/

[5] GROUP-IB.Storm clouds on the horizon: Resurgence of TeamTNT?[R/OL].(2024-09-18)

https://www.group-ib.com/blog/teamtnt/

[6] aqua.Kinsing Demystified[R/OL](2024-05-21)

https://1665891.fs1.hubspotusercontent-na1.net/hubfs/1665891/Threat%20reports/AquaSecurity_Kinsing_Demystified_Technical_Guide.pdf

[7] 安天.干貨分享丨Libgcc_a挖礦木馬分析與處置[R/OL](2024-03-13)

https://mp.weixin.qq.com/s/2UhXr3up--5cW3BrP6njxw

[8] aqua.perfctl: A Stealthy Malware Targeting Millions of Linux Servers[R/OL](2024-10-03)

https://www.aquasec.com/blog/perfctl-a-stealthy-malware-targeting-millions-of-linux-servers/

[9] TREND.Attackers Target Exposed Docker Remote API Servers With perfctl Malware[R/OL](2024-10-21)

https://www.trendmicro.com/en_hk/research/24/j/attackers-target-exposed-docker-remote-api-servers-with-perfctl-.html

[10] 安天.“匿鏟”挖礦木馬活動分析[R/OL](2024-05-10)

http://www.8rpec4.com/research/notice&report/research_report/HideShoveling.html

[11] elastic.Invisible miners: unveiling GHOSTENGINE’s crypto mining operations[R/OL](2024-05-22)

https://www.elastic.co/security-labs/invisible-miners-unveiling-ghostengine

[12] Akamai.RedTail Cryptominer Threat Actors Adopt PAN-OS CVE-2024-3400 Exploit[R/OL](2024-05-30)

https://www.akamai.com/blog/security-research/2024-redtail-cryptominer-pan-os-cve-exploit