2017年5月,「永恆之藍」席捲全球,有90個國家遭到攻擊,國內教育網是遭到攻擊的重災區,大量校園網用戶成為攻擊目標,致使許多實驗數據及畢業設計被鎖。
近日,騰訊安全威脅情報中心檢測到永恆之藍下載器木馬再次出現新變種,此次變種利用Python打包EXE可執行文件進行攻擊,該組織曾在2018年底使用過類似手法。
騰訊安全大數據監測數據顯示,永恆之藍下載器最新變種出現之後便迅速傳播,目前已感染約1.5萬臺伺服器,中毒系統最終用於下載運行門羅幣挖礦木馬。騰訊方面表示,永恆之藍下載器木馬在不斷演進更新過程中,曾將EXE攻擊方式逐步切換到利用Powershell腳本實現無文件攻擊。在其功能越來越龐大之後,該黑產團夥再次將永恆之藍漏洞攻擊利用、mssql爆破攻擊的代碼重新添加到EXE木馬中,並對Powershell中相關代碼進行屏蔽。被本次變種攻擊失陷後的系統會下載if.bin、下載運行由隨機字符串命名的EXE攻擊模塊進行大規模的漏洞掃描和攻擊傳播,同時會下載門羅幣挖礦木馬佔用伺服器大量CPU資源挖礦,會給受害企業造成嚴重生產力損失。騰訊安全專家建議企業網管對企業網絡資產進行安全檢測,以及時消除永恆之藍下載器木馬的破壞活動。