逾4万台服务器、调制解调器等物联网设备遭 Prowli 僵尸网络感染

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

网络犯罪分子设法组建了一个由4万多台受感染web服务器、调制解调器和其它物联网设备，用于挖掘密币并将用户重定向至恶意站点。

这个网络犯罪分子团伙由GuardiCore 安全团队发现并被命名为 “Prowli”。该僵尸网络依靠漏洞和凭证暴力攻击感染并控制设备。

Prowli 组织如何感染受害者

近几个月来，Prowli 组织已感染如下多种服务器和设备：

WordPress站点（经由多个利用代码和管理面板暴力攻击）

运行K2扩展的Joomla!站点（经由CVE-2018-7482）

多种DSL调制解调器机型（经由一个著名漏洞）

运行HP数据保护器的服务器（经由CVE-2014-2623）

暴露SMB端口的Drupal、PhpMyAdmin程序、NFS盒子和服务器（全部经由暴力凭证猜测）

另外，Prowli 组织还运行着一个 SSH 扫描器模块，它试图猜测暴露 SSH 端口的用户名设备和密码。

犯罪分子部署密币挖矿机、后门、SSH 扫描器

服务器或物联网设备被攻陷后，Prowli 组织还会判断是否可利用它们从事密集的密币挖矿活动。

能够被用于挖矿的遭攻陷设备受一个门罗币挖矿机和 r2r2 蠕虫感染。该蠕虫能够执行 SSH 暴力攻击并帮助 Prowli 僵尸网感染新的受害者。

另外，用于运行网站的 CMS 平台也收到了特殊对待，因为它们也受后门 (WSO Web Shell) 的感染。

犯罪分子利用这种 web shell 修改受攻陷网站以便托管恶意代码，将某些网站的访客重定向至流量分发系统 (TDS)，随后将遭劫持的 web 流量出租给其他犯罪分子并将用户重定向至所有类型的恶意站点，如技术支持诈骗、虚假的更新站点等。

GuardiCore 公司指出，犯罪分子使用的是 TDS 系统（也被称为 ROI777）。3月份，ROI777 被黑且数据遭暴露后，网络安全公司在4月份将其拿下。尽管如此，这看似并未阻止 Prowli 组织的步伐。

造钱机器

研究人员指出，整个 Prowli 恶意活动的目的是为犯罪分子谋取最大利益。

在 Prowli恶意软件存活期间，它共感染位于9000多家公司网络上的4万多台服务器和设备，并在被发现前尽可能赚取利润。Prowli 组织针对的是全球范围内的受害者，而且所有的底层平台都无法幸免。

https://www.bleepingcomputer.com/news/security/prowli-malware-operation-infected-over-40-000-servers-modems-and-iot-devices/