FW: [外部郵件] 新挖礦病毒攻擊通知

 

2019年4月19日   新挖礦病毒攻擊通知   趨勢科技近日發現一個挖礦病毒，此病毒使用多種感染方式，散播門羅幣挖礦程式到眾多的系統。該挖礦病毒在今年初於中國現身，最初的感染方式是用弱密碼及pass-the-hash（傳遞雜湊）技術、利用Windows管理工具及公開原始碼的暴力破解工具進行攻擊。後來在日本發現的新案例會利用EternalBlue（永恆之藍）漏洞攻擊及使用PowerShell入侵系統並躲避偵測。後來此殭屍網路擴展到台灣、日本、香港、越南、印度及澳洲等地。 這個惡意程式非常複雜，專門設計成能夠感染更多電腦，而且不會馬上被偵測。它會利用電腦系統和資料庫的弱密碼，針對企業可能仍在使用的老舊軟體，使用會在記憶體內下載和執行組件的PowerShell腳本，攻擊未修補的資安漏洞以及使用Windows的啟動資料夾和排程工作進行安裝。 此惡意程式主要散播方式是利用弱密碼登入連接網路的電腦，它不會直接將自己複製到連接的系統，而是透過遠端命令來變更中毒電腦的防火牆和通訊埠轉發設定，建立排程下載並執行更新的惡意程式。如果用戶使用較強的密碼，則惡意程式會嘗試利用EternalBlue（永恆之藍）安全弱點進行散播。 此惡意程式所用的門羅幣採礦程式也是透過PowerShell部署，但並不儲存在檔案裡，而是用另一個公開程式碼Invoke-ReflectivePEInjection來注入自己的PowerShell程序。安裝後，惡意程式會將其狀態回報給遠端的C&C伺服器。 趨勢科技建議您採取以下防禦措施： 儘早使用廠商提供的修補程式來更新系統。使用較舊版本軟體的用戶也可以透過可靠的虛擬修補技術來保護自己。直到本文撰寫時，惡意軟體仍在活動中且已經更新，並且會連到新網址。 使用複雜密碼，並且儘可能地分層認證授權。 建構多層次防禦系統，從閘道到端點主動封鎖這些惡意威脅及惡意網址。 請將趨勢科技產品病毒碼版本更新至14.861.00以上，可偵測此惡意程式為Trojan.PS1.LUDICROUZ.A。 如果您有任何問題或需要技術方面的協助，請您聯絡趨勢科技技術支援部門。 [趨勢科技技術支援聯絡方式] 企業授權用戶技術專線: Tel: 886-2-2377-2323 My support :https://success.trendmicro.com/tw/sign-in 產品技術問題請至企業用戶支援網站查詢 服務時間: 週一至週五 , 上午9:00~12:00 下午1:30 ~5:30 (例假日及國定假日除外)