研究人員發(fā)現(xiàn)，一種新命名為路西法的惡意軟件可以在受感染的設(shè)備上挖掘Monero加密貨幣，然后利用受害者設(shè)備發(fā)動DDoS攻擊。

Palo Alto Networks的42位研究人員發(fā)現(xiàn)了一種新的“混合加密劫持惡意軟件”，本想將其命名為Satan DDoS，但由于Satan Ransomware已經(jīng)存在，因此Palo Alto研究人員選擇將其命名為Lucifer。

[[333769]]

路西法(Lucifer)惡意軟件能夠發(fā)起DDoS攻擊，并可以使用各種系統(tǒng)常見的自然漏洞來攻擊易受攻擊的Windows主機，這些主機大多數(shù)漏洞被評為“高”或“嚴重”。

該活動的第一波浪潮于2020年6月10日被Palo Alto Networks阻止，但攻擊者第二天就使用Lucifer惡意軟件的升級版繼續(xù)進行攻擊，通過挖掘加密貨幣并利用受害者作為肉雞發(fā)起了強烈的DDoS攻擊，總之他們的破壞力很強。

Palo Alto Networks的研究人員觀察到，Lucifer的新變體功能非常強大，因為它通過拋棄XMRig來挖掘Monero加密貨幣來執(zhí)行加密劫持，連接到C&C服務(wù)器，并通過利用多個漏洞以及啟動憑據(jù)強制執(zhí)行來實現(xiàn)自傳播。

Lucifer是加密劫持和DDoS惡意軟件變種的新混合產(chǎn)物，利用舊漏洞在Windows平臺上傳播和執(zhí)行惡意活動。

此外，它可以針對易受攻擊的設(shè)備丟棄/運行泄漏的NSA漏洞，包括DoublePulsar，EternalBlue和EternalRomance，以實現(xiàn)Intranet感染。

一旦被利用，攻擊者就可以在易受攻擊的設(shè)備上執(zhí)行任意命令。在這種情況下，目標是在網(wǎng)絡(luò)中可用的Windows主機，因為攻擊者正在利用有效負載中的certutil程序?qū)嵤阂廛浖鞑ァ?rdquo;研究人員在博客中說道。

NSA的實際利用(截圖)：

目標安全漏洞為CVE-2014-6287、CVE-2018-1000861、CVE-2017-10271、CVE-2018-20062、CVE-2018-7600、CVE-2017-9791、CVE-2019-9081、PHPStudy后門RCE、CVE-2017-0144、CVE-2017-0145和CVE-2017-8464。

盡管解決這些問題的軟件更新程序已經(jīng)發(fā)布了一段時間，但許多系統(tǒng)仍未打補丁，面臨攻擊風險，黑客成功利用漏洞可在目標計算機上執(zhí)行代碼。

該惡意軟件包含三個資源部分，每個資源部分都包含一個用于特定目的的二進制文件：XMRig 5.5.0的x86和x64 UPX壓縮版本，以及Equation Group漏洞(EternalBlue和EternalRomance，以及DoublePulsar后門植入物)。

[[333770]]

該惡意軟件升級版與其以前的版本具有相同行為，但另有防沙箱功能，可根據(jù)預(yù)定義的列表滲透受感染主機的用戶及計算機名稱、是否存在特定設(shè)備驅(qū)動程序、DLL和虛擬設(shè)備，如果找到匹配項，則會暫停操作。它還擁有反調(diào)試器功能。

好消息是，它們無法攻擊安裝新進安全漏洞補丁程序的Windows系統(tǒng)，也就是說，未更新的主機容易受到加密劫持的攻擊。研究人員敦促用戶立即應(yīng)用最新補丁和更新以保護其設(shè)備。