不明身份的攻击者利用Prometei和Cliptomaner恶意软件家族传播XMRig恶意挖矿程序

2020年10月22日，俄罗斯网络安全企业卡巴斯基公司的安全研究团队发布报告称，监测发现不明身份的攻击者将XMRig挖矿程序与Prometei和Cliptomaner恶意软件家族进行捆绑传播，针对全球范围内的个人用户实施网络攻击。攻击者通过暴力破解等方式入侵受害人主机并投送包括XMRig、Prometei在内的多款恶意软件，在受害人不知情的情况下利用系统资源恶意挖掘、窃取门罗币，以获取经济利益。 XMRig是一款高性能的开源门罗币挖矿工具，常被攻击者用于恶意挖矿攻击。2020年8月至9月期间，卡巴斯基安全网络识别到了超过5000次的XMRig非法安装行为，负责传播该软件的是名为“Prometei”和“Cliptomaner”的恶意软件家族。Prometei恶意软件自2016年就已经为人所知，但在2020年2月才被首次发现与XMRig挖矿工具捆绑进行传播。在此次攻击活动中，攻击者通过暴力破解等方式获得了安装有MSSQL数据库的服务器登陆凭证，进而利用恶意PowerShell脚本在受害主机上安装了多款恶意软件。 建议国内个人和企业用户采取以下措施予以防范，一是发现已感染上述恶意软件的服务器，管理员应尽快对设备进行隔离，关闭所有网络连接，禁用网卡；二是监控进出网络设备的可疑流量，配置网络策略，利用VLAN隔离来限制出入流量；三是定期对MSSQL数据库服务器进行加固，尽早修复相关组件的安全漏洞，并及时进行漏洞更新。