駭客利用Drupal等32種軟體漏洞，對Windows及類UNIX系統發動大規模挖礦攻擊

安全廠商Palo Alto本周揭露一隻名為Watchdog的挖礦程式，鎖定並劫持Windows及類UNIX系統挖礦至少2年，是已知規模最大、時間最長的Monero挖礦劫持攻擊。

Palo Alto旗下的Unit42安全實驗指出，WatchDog名稱是從Linux精靈程式watchdogd而來。它至少從2019年1月就開始感染伺服器，並暗中從事門羅幣（Monero）的挖礦。

控制WatchDog的駭客利用33種不同的開採工具，來駭入目標系統的32項軟體漏洞。他們的目標軟體包括Drupal、Elasticsearch、Apache Hadoop、Redis、SQLServer、ThinkPHP及Oracle WebLogic。研究人員估計WatchDog由3種Go語言寫成的二進位程式，及一個bash或PowerShell script檔組成。這些二進位程式，一個模擬Linux watchdogd精靈確保挖礦過程不會無預期中斷或終止，一個下載之前掃瞄找到的一組Windows或NIX目標系統的IP位址清單，以便對這些機器執行開採指令，另一個則利用bash或PowerShell script，對這些系統啟動挖礦。使用Go二進位程式讓WatchDog可在不同OS上（Windows或NIX）執行，只要目標系統安裝Go平臺。

Unit42小組研究人員找到WatchDog部署的殭屍網路架構，辨識出18個根IP終端及7臺惡意網域，可支援至少125個可下載工具到受害系統的URL。

研究人員判斷，WatchDog控制的機器大約在500到1000臺之間，其中以Windows及類UNIX雲端執行個體為主，平均至少控制476臺系統保持運作，產出的算力達1,037KH/s，兩年來這隻程式至少挖了209個Monero（XMR），價格約32,056美元。

這並非Palo Alto第一次發現會自主感染的挖礦程式。2019年他們也曾發現名為Graboid的挖礦蠕蟲，劫持超過2,000臺Docker Hub主機用於挖掘Monero加密貨幣。Graboid在被發現並移除前曾潛伏了3個月。

但是WatchDog似乎更高明。它不需要第三方伺服器來下載惡意酬載，這使得它得以持續挖礦活動，時間超過2年。

研究人員認為運作WatchDog的駭客經驗老道，雖然目前尚未看到它已駭入雲端系統，像是竊取雲端平臺的身份及存取管理（IAM）系統的登入權限、存取ID或金鑰，但相當有可能日後駭入雲端帳號。這群人極可能在植入挖礦軟體時取得根帳號或管理員存取權限，進而取得了雲端系統的IAM相關資訊。

研究人員建議系統管理員應確保系統軟體在新版本，以免自家系統成了駭客的挖礦機器。