转载自 国家计算机病毒应急处理中心
国家计算机病毒应急处理中心通过对互联网的监测,发现“LemonDuck”(柠檬鸭)挖矿病毒的最新变种文件,该变种采用Python打包可执行文件方式,并重新将永恒之蓝漏洞攻击、SMB、MSSQL爆破攻击的代码添加到可执行文件中,结合之前的PowerShell脚本进行混合攻击。被感染失陷后的主机系统会下载if.bin和.EXE攻击模块,在所在内网中进行大规模的漏洞扫描和攻击传播,失陷系统最终会被攻击者用于下载运行门罗币挖矿木马,本次攻击活动中攻击者采用了鱼叉式钓鱼攻击和邮件蠕虫传播的方式。 建议各教育局和高校用户提高安全防范意识,不要点击或打开来源不明的邮件、附件以及邮件中的链接。采用高强度的密码,避免使用弱口令密码,并定期更换密码。同时,打开系统自动更新,并检测更新进行安装,尤其针对使用445端口的业务,进行权限限制。日常保持安全产品的部署及相关组件的更新,如无需使用,禁用PowerShell功能。
信息化办公室
2020年09月24日
