警告黑客開始使用“SambaCry漏洞”攻擊Linux系統

兩周前，我們報道了Samba networking software（SMB networking protocol的重新實現）中存在的一個7年嚴重遠程代碼執行漏洞，該漏洞允許遠程黑客完全控制易受攻擊的Linux和Unix機器。

要了解SambaCry漏洞（CVE-2017-7494）及其工作原理的更多信息，請閱讀我們之前的文章。

當時，在互聯網上發現了近48.5萬臺支持Samba的計算機，研究人員預測，基于SambaCry的攻擊也有可能像WannaCry勒索軟件一樣廣泛傳播。

該預測結果相當準確，因為卡巴斯基實驗室研究人員團隊建立的蜜罐捕捉到了一個惡意軟件活動，該活動利用SambaCry漏洞用加密貨幣挖掘軟件感染Linux計算機。

另一位安全研究員Omri Ben Bassat?；，獨立發現了同樣的活動，并將其命名為“永恒礦工”

據研究人員稱，就在Samba漏洞被公開披露一周后，一個未知的黑客組織開始劫持Linux PC，并安裝了升級版的“CPUminer”，這是一種加密貨幣挖掘軟件，用于挖掘莫內羅“數字貨幣。

在使用SambaCry漏洞破壞易受攻擊的機器后，攻擊者在目標系統上執行兩個有效負載：

• INAebsGB。所以；為攻擊者提供遠程訪問的反向外殼。
• cblRWuoCc。所以；一個后門，包括加密貨幣挖掘工具；CPUminer。

卡巴斯基研究人員說：“通過系統中留下的反向外殼，攻擊者可以改變已經在運行的礦工的配置，或者用其他類型的惡意軟件感染受害者的計算機。”。

挖掘加密貨幣可能是一項成本高昂的投資，因為它需要巨大的計算能力，但這種加密貨幣挖掘惡意軟件讓網絡犯罪分子更容易利用受損系統的計算資源獲利。

如果您一直在定期關注黑客新聞，那么您一定知道Adylkuzz，這是一種加密貨幣挖掘惡意軟件，在WannaCry勒索軟件攻擊爆發前至少兩周使用了Windows SMB漏洞。

Adylkuzz惡意軟件還利用受損Windows系統的大量計算資源挖掘Monero。

基于SambaCry的CPUminer攻擊背后的攻擊者已經獲得了98個XMR，目前價值5380個，并且這個數字隨著受損Linux系統數量的增加而不斷上升。研究人員說：“在第一天，他們獲得了約1 XMR（根據2017年6月8日的貨幣匯率，大約55美元），但在最后一周，他們每天獲得了約5 XMR。”

Samba的維護人員已經在他們的新Samba版本4.6.4/4.5.10/4.4.14中修補了這個問題，并敦促那些使用易受攻擊的Samba版本的人盡快安裝補丁。