您的位置:首页 > 文章资讯 > 电脑安全
挖矿、DDoS、删库勒索三重攻击,Agwl病毒团伙变种瞄准Linux系统
作者: | 更新时间:2024-03-16 15:42:46 | 来源:本站整理 | 阅读次数:
2018 年 7 月,腾讯安全御见威胁情报中心首次监测到Agwl网络犯罪团伙入侵某互娱公司手游官网服务器; 2019 年 1 月以来,Agwl团伙日渐活跃,呈小幅度爆发趋势,针对phpStudy网站服务器批量植入大量挖矿木马,并通过对其网站使用的默认MySQL弱口令进行爆破攻击,得手后植入挖矿以及远控木马。

名称:简音乐在线听

类型:媒体播放

版本:v1.0

更新:2024-03-16 15:42:46

平台:AndroidIpnone

简要介绍

简音乐在线听是一款拥有小巧设计的音乐软件,提供了流畅的掌上收听体验,合理的交互设计全面满足了用户的不同音乐收听需求,每位用户都能轻松感受到高品质收听效果带来的独特魅力。软件收录了全网高品质音乐资源,支持多个平台歌单同步,为用户提供了全面贴心服务。<详情>

2018 年 7 月,腾讯安全御见威胁情报中心首次监测到Agwl网络犯罪团伙入侵某互娱公司手游官网服务器; 2019 年 1 月以来,Agwl团伙日渐活跃,呈小幅度爆发趋势,针对phpStudy网站服务器批量植入大量挖矿木马,并通过对其网站使用的默认MySQL弱口令进行爆破攻击,得手后植入挖矿以及远控木马。

近期,腾讯安全御见威胁情报中心再次监测捕捉到Agwl团伙的踪迹,此次入侵行动中首次将Linux系统纳入攻击范围,入侵后会下载运行挖矿脚本、DDoS病毒及勒索病毒。目前,腾讯御点终端安全管理系统已对该恶意行为进行全面拦截并查杀。

与其他勒索病毒不同的是,Agwl团伙爆破登录成功后并不会先加密数据再勒索酬金,而是在攻击成功后直接“撕票”删库,再向受害企业用户发送勒索消息骗取赎金。企业一旦中招,不仅数据拿不回来,还可能被骗取赎金,“数”财两空。同时,勒索病毒还会发动挖矿攻击,通过C2 获取攻击目标IP段,扫描VNC、Rsync、MySQL等服务器进行爆破攻击,最终通过shell下载挖矿木马挖取门罗币。

(图: Agwl团伙门罗币钱包收益量)

通过与之前的攻击活动进行对比分析,腾讯安全技术专家指出,在此次恶意攻击事件中,不法黑客使用的爆破工具加密方式与 1 月份发现的挖矿木马样本保持一致。攻击者入侵成功后加入基于Linux系统执行的bash脚本代码s667,并进一步下载挖矿木马,随后继续植入DDoS病毒以及勒索蠕虫病毒,对服务器进行爆破。