非法加密货币挖掘：2018年威胁重灾区与攻击者多元化趋势

在2018年的网络威胁中，非法挖掘加密货币仍赫然在列，成为众多攻击手段中的高频热点。黑客们通过劫持受损设备的CPU资源秘密进行加密货币挖矿，从而坐收渔翁之利。更糟的是，此类恶意软件传播还可能成为远程访问木马和其他有害程序的载体，使受害者面临多重安全风险。

共享工具与多源攻击

1. 思科Talos团队在过去的一年中对非法加密货币挖矿活动进行了深入调查，发现许多攻击案例采用了相似的战术、技术和程序（TTP），起初误以为这些活动归咎于单一参与者。

2. 然而，在进一步分析了攻击者的钱包和命令与控制（C2）服务器后，研究者揭示了一系列看似独立的非法挖矿活动背后其实隐藏着多个不同的攻击者群体。这表明，在非法挖矿领域内，共享或复制挖矿工具的现象非常普遍。

活跃组织与挖矿手法揭秘

1. Talos团队在追踪以Rocke为代表的高度活跃团伙时，注意到其他团伙也采用了类似的TTP。他们顺藤摸瓜，从Rocke在GitHub上的项目发现了名为“8820”的非法挖矿组织，因其利用恶意Docker镜像感染并加密服务器而在业界臭名昭著，且通过TCP端口8220与其恶意基础设施通信。

2. 此外，研究者还发现了tor2mine小组，该组织基于tor2web服务实现C2通信。尽管存在与其他已知团体有相似之处的新面孔，但由于缺乏明确的网络基础设施或加密钱包关联证据，目前无法将它们直接关联起来。

经济损失与未来走向

1. 根据对相关组织钱包的跟踪，研究人员估算这些犯罪分子持有并支付了约1,200枚门罗币（Monero）作为交易费用。结合公开报道和调查数据，这些组织共积累了数十万美元价值的加密货币财富，但由于门罗币价格波动剧烈，难以准确估计其实际售出时的价值。

2. 自去年11月以来，门罗币的价值大幅缩水，从年初每枚超过400美元跌至如今的45美元左右。受此影响，Talos观察到蜜罐中的部分参与者活动有所减少，但加密货币攻击整体上仍在持续。

3. 面对当前加密货币价值低谷，威胁行为者可能会转向提供不同类型的恶意有效载荷。比如Rocke就已在开发具有破坏性的新型勒索软件。不过，截至11月初，他们的GitHub页面显示仍在继续关注并更新以加密货币挖掘为核心的存储库，包括静态构建版本的XMRig挖矿工具。后续变化如何，我们拭目以待。

本文由黑客视界综合整理自互联网，图片来自网络；转载请注明“转自黑客视界”，并附上原文链接。