腾讯安全七月报告：涉及多个挖矿木马入侵事件 医院服务器变矿机

今天，腾讯安全联合实验室发布了《七月安全舆情报告》，在七月出现的重大安全事件中，有多件与挖矿木马有关，包括Rakhni木马新添加了加密货币挖矿的功能;广东、重庆多家医院服务器遭入侵，秒变矿机等等。

报告称，近期发现的Rakhni新变种，主要通过带有恶意附件的垃圾邮件进行分发。垃圾电子邮件中的DOCX附件包含PDF文档。如果用户允许编辑并尝试打开PDF，则系统会请求从未知发布者运行可执行文件的权限。如果恶意软件在受害者的计算机上找到一个名为比特币的服务文件夹，它会运行一个加密文件(包括Office文档，PDF，图像和备份)的勒索软件，并要求在三天内支付赎金。赎金的详细信息，包括网络犯罪分子承诺通过电子邮件发送多少钱。如果设备上没有与比特币相关的文件夹，并且恶意软件认为它有足够的能力来处理加密货币挖掘，那么它会下载一个偷偷地在后台生成Monero，Monero Original或Dashcoin令牌的矿工。

此外，还有三件七月份热门挖矿事件，如下：

北京某手游公司官服被植入挖矿木马

近日，腾讯御见威胁情报中心感知到北京某手游官网服务器被黑，并且被植入了挖矿木马。入侵者通过官网phpMyadmin后台管理登录页面爆破登录，再下载挖矿木马挖门罗币，这主要是由于管理员对服务器的不正确配置造成的。攻击者在该服务器挖矿之后，还使用Ghost远程控制木马的变种完全控制了该服务器，致使该服务器的所有信息都可被攻击者掌握，可能导致玩家个人信息泄露。

广东、重庆多家医院服务器遭入侵，秒变矿机

近期，广东、重庆多家医院服务器被入侵，攻击者暴力破解医院服务器的远程登录服务，之后利用有道笔记的分享文件功能下载多种挖矿木马。攻击者将木马伪装成远程协助工具Teamviewer并运行，检测并结束近 50 个常用挖矿程序的进程，进而独占服务器资源进行挖矿。该挖矿木马还会通过修改注册表破坏操作系统的安全功能——禁用UAC(用户账户控制)、禁用Windows Defender、关闭运行危险程序时的打开警告等。我国医疗机构开放远程登录服务(端口号：22)的比例高达50%，这意味着有一半的服务器可能遭遇相同的攻击。

陕西多家企业网站被植入JS挖矿木马

7 月下旬，腾讯御见威胁情报中心发现陕西某能源协会网站被植入JS网页挖矿木马，进一步找到该网站的运营机构西安长庚网络科技有限公司，发现该公司设计的多个网站均存在植入JS网页挖矿木马的情况。被植入挖矿木马的网站包括陕西某供水协会、陕西某能源协会、西安某环保设备公司、西安某中水公司等。

用户在访问该这些网站时会导致浏览器自动运行网页挖矿程序挖门罗币，从而会导致电脑CPU大量被占用，系统变得卡慢。从该网站设计展示的案例网站的高中招率来看，可能还有更多网站被植入挖矿程序。