近期，Splunk 威脅研究團隊發現了一起大規模惡意軟件攻擊活動，4000 多家互聯網服務提供商（ISP）深受其害，黑客借此獲得了關鍵基礎設施的遠程訪問權限。種種跡象表明，此次攻擊或源自東歐，攻擊者運用了暴力攻擊手段、植入加密挖掘負載，并采用了先進的規避技術。

攻擊概述

該惡意軟件專門針對 ISP 系統中存在的弱憑證，通過暴力破解的方式強行滲透進入。一旦成功潛入系統，攻擊者便迅速部署一系列惡意二進制文件，像 mig.rdp.exe、x64.exe 和 migrate.exe 等。這些文件一方面執行加密挖掘操作，利用受害系統的計算資源謀取利益；另一方面，負責竊取敏感信息。

這些惡意有效載荷具備多種破壞能力，它們能夠禁用系統的安全功能，通過命令和控制（C2）服務器（其中包括 Telegram 機器人）將竊取的數據泄露出去，并且能夠在受感染的網絡中尋找并攻擊其他目標。在受感染網絡中橫向移動時，該惡意軟件主要借助 Windows 遠程管理（WINRM）服務。它運用編碼的 PowerShell 腳本，不僅可以禁用防病毒保護，終止其他競爭的加密礦工程序，還能在受感染的系統上建立起長期的控制權，同時修改目錄權限，限制用戶訪問，防止自身文件被發現。

啟用目錄的繼承權限

技術細節

此次惡意軟件活動采用自解壓 RAR 檔案（SFX）的方式，極大地簡化了部署過程。以 mig.rdp.exe 有效載荷為例，它會釋放出多個文件，其中包含批處理腳本（ru.bat、st.bat）和可執行文件（migrate.exe）。這些文件會禁用 Windows Defender 的實時監控功能，并添加惡意例外，以此躲避安全軟件的檢測。另一個組件 MicrosoftPrt.exe 則充當剪貼板劫持程序，專門針對比特幣（BTC）、以太坊（ETH）、萊特幣（LTC）等加密貨幣的錢包地址進行竊取。

攻擊者還使用 masscan.exe 這類大規模掃描工具，識別 ISP 基礎設施內易受攻擊的 IP 范圍。一旦確定目標，便利用 SSH 或 WINRM 協議進一步獲取訪問權限。

SSH 連接憑證

為了提高攻擊效率，攻擊者利用 Python 編譯的可執行文件實現自動化操作，這樣既能最大限度減少操作痕跡，又能在受限環境中保持高效運作。像 Superfetch.exe（XMRig 加密礦工）、IntelConfigService.exe（用于逃避防御的 AutoIt 腳本）以及 MicrosoftPrt.exe 等文件，均已被研究人員標記。這些文件通常隱藏在諸如 C:\Windows\Tasks\ 或 C:\ProgramData\ 等非常規目錄中。此外，該惡意軟件還會操縱注冊表項，禁用遠程桌面協議（RDP）服務，注銷活躍用戶，以此阻礙受害方的補救工作。

此次活動凸顯了針對關鍵基礎設施提供商的惡意軟件日益復雜化。

通過將加密挖掘與憑證盜竊和高級持久性機制相結合，攻擊者的目標是最大限度地利用資源，同時逃避檢測。

使用 Telegram 機器人作為 C2 服務器進一步使傳統的網絡監控工作復雜化。

Splunk發布了一套檢測規則，幫助組織識別與此活動相關的可疑活動。

這些包括針對不尋常文件路徑、基于 WINRM 的 PowerShell 執行以及與 Telegram API 相關的 DNS 查詢的警報。

由于互聯網服務提供商 (ISP) 仍然是數字連接的重要支柱，此次攻擊凸顯了采取強有力的網絡安全措施的迫切需求。

建議組織實施強密碼策略，密切監控端點活動，并部署先進的威脅檢測工具，以減輕與此類復雜活動相關的風險。

參考及來源：https://gbhackers.com/new-malware-strikes-4000-isps/