1. 加重信息系统基础设施资源消耗与运行风险：挖矿木马普遍消耗信息系统基础设施的大量资源，使操作系统及其服务、应用软件运行缓慢，甚至造成正常服务崩溃，产生承载业务中断、业务数据丢失等一系列负面影响；

2. 危害信息系统基础设施使用寿命与运行性能：挖矿木马迫使信息系统基础设施长时间高负载运行，致使其使用寿命缩短，运行性能严重下降；

3. 浪费能源，增大碳排放量：挖矿木马挖矿会消耗大量电能，造成巨大的能源消耗，而现阶段我国电能的主要来源是煤炭类化石燃料燃烧供电，因此，其挖矿作业加剧碳排放污染；

4. 留置后门，衍生僵尸网络：挖矿木马普遍具有添加SSH免密登录后门、安装RPC后门，接收远程IRC服务器指令、安装Rootkit后门等恶意行为，致使受害组织网络沦为僵尸网络；

5. 作为攻击跳板，攻击其他目标：挖矿木马支持攻击者控制受害者服务器进行DDoS攻击，以此服务器为跳板，攻击其他计算机，或者释放勒索软件索要赎金等。

3.1 AI时代驱动挖矿木马新浪潮

3.2 内核级工具使挖矿木马更加难以检测

在2023年的挖矿取证中，安天CERT发现挖矿木马攻击者正日益倾向于使用Rootkit内核级工具，如yayaya Miner、TeamTNT和“8220”等。这一趋势预示着未来这类工具的流行程度将进一步上升。Rootkit内核级工具之所以受到青睐，主要是因为它们能够在系统的最底层进行潜伏，从而提供更深层次的隐蔽性和控制力。这些工具能够直达操作系统的核心，加载恶意的内核模块，以实现避免被传统安全软件检测到的状态。它们可以有效地隐藏恶意进程和文件，由于这些工具对系统的高级控制，即便是系统重启，它们也能够持续在后台运行，确保持续的挖矿活动不受干扰。随着挖矿木马攻击者对利润的不断追求，结合Rootkit技术的挖矿木马将变得越来越复杂。它们不仅仅满足于利用受害者的计算资源，更可能进行更为深入的网络渗透，对网内其他终端造成潜在威胁。

3.3 SHC加密脚本促使挖矿木马更加隐蔽

2023年，安天CERT对监测到的挖矿木马进行了梳理，发现挖矿木马攻击者为了逃避安全检测，开始采用各种混淆和加密技术来隐藏其恶意代码。其中，使用Shell脚本编译器（SHC）对脚本进行加密的做法愈发流行，SHC成为了攻击者新的工具选择，以增强其挖矿脚本的隐蔽性。SHC是一种将Shell脚本加密成二进制可执行文件的工具，它可以有效地隐藏脚本的源代码，从而使得分析人员难以直接查看代码内容。这种加密不仅可以防止脚本源代码被分析，还可以绕过基于签名的检测机制，因为每次加密后生成的二进制文件都具有不同的签名。安天CERT在2023年先后分析了Hoze、yayaya Miner和Diicot等挖矿木马，均利用SHC加密的脚本发起初始攻击，这种攻击方式为挖矿木马的传播提供了便利，加剧了用户系统被感染的风险。

4.1 “8220”

“8220”是一个长期活跃并且擅长使用漏洞进行攻击并部署挖矿程序的组织，该组织早期使用Docker镜像传播挖矿木马，后来逐步利用多个漏洞进行攻击，如WebLogic漏洞、Redis未授权访问漏洞、Hadoop Yarn未授权访问漏洞和Apache Struts漏洞等。在2020年发现该组织开始使用SSH暴力破解进行横向攻击传播。自Apache Log4j 2远程代码执行漏洞曝光后，该组织利用该漏洞制作漏洞利用脚本进行传播，影响范围广。

4.1.1 组织概览

4.1.2 典型案例

➤“8220”挖矿组织活动分析

2022年1月，安天CERT陆续捕获到多批次“8220”挖矿组织攻击样本，该挖矿组织自2017年出现，持续活跃，同时向Windows与Linux双平台传播恶意脚本，下载的载荷是门罗币挖矿程序以及其他僵尸网络程序、端口扫描暴力破解工具等^[1]。

➤“8220”挖矿组织最新挖矿活动分析

在2023年1月到2月期间，研究人员观察到一个针对Oracle Weblogic Server的攻击负载。该负载提取了ScrubCrypt，通过对应用程序进行混淆和加密，使其能够规避安全程序。此外，已经有了更新版本，并且卖家网页上承诺可以绕过Windows Defender并提供反调试和一些绕过功能。通过分析被注入受害者系统中的恶意软件，研究人员确定了攻击者为“8220”挖矿组织，并详细阐述了ScrubCrypt和此加密器在过去传递的其他恶意软件的细节^[2]。

➤针对Oracle WebLogic漏洞的攻击活动分析

“8220”挖矿组织自2017年起一直活跃，并持续扫描云和容器环境的易受攻击应用程序。他们以部署加密货币挖矿程序为目的，攻击了Oracle WebLogic、Apache Log4j、Atlassian Confluence漏洞和配置错误的Docker容器。该组织曾使用Tsunami恶意软件、XMRig加密挖矿程序、masscan和spirit等工具。最近的攻击中，研究人员观察到他们利用了CVE-2017-3506漏洞对Oracle WebLogic进行攻击。这个漏洞影响了Oracle WebLogic的WLS安全组件，攻击者可以利用特定的XML文档通过远程的HTTP请求来执行任意命令，从而获取对敏感数据的未经授权访问或者入侵整个系统^[3]。

4.2 Outlaw

Outlaw挖矿僵尸网络最早于2018年被发现，主要针对云服务器实施挖矿攻击，持续活跃。疑似来自罗马尼亚，最早由趋势科技将其命名为Outlaw，中文译文为“亡命徒”。该挖矿僵尸网络首次被发现时，攻击者使用Perl脚本语言的后门程序构建机器人，因此被命名为“Shellbot”。其主要传播途径是SSH暴力破解攻击目标系统并写入SSH公钥，以达到长期控制目标系统的目的，同时下载基于Perl脚本语言编写的后门和开源门罗币挖矿木马。

4.2.1 组织概览

4.2.2  典型案例

➤典型挖矿家族系列分析一丨Outlaw（亡命徒）挖矿僵尸网络

Outlaw挖矿僵尸网络首次被发现于2018年11月，当时其背后的攻击者只是一个通过漏洞入侵IoT设备和Linux服务器并植入恶意程序组建僵尸网络的组织，主要从事DDoS攻击活动，在暗网中提供DDoS出租服务。在后续的发展过程中，受虚拟货币升值影响，也逐步开始在僵尸网络节点中植入挖矿木马，并利用僵尸网络对外进行渗透并扩张，获得更大规模的计算资源，旨在挖矿过程中获取更多的虚拟货币^[4]。

➤Outlaw黑客组织重新浮出水面

2022年2月，研究人员发现了一起涉及恶意脚本和恶意软件的服务器入侵事件。通过识别的攻击特征（SSH密钥注释、恶意工具和脚本名称、目录结构），可以确定这次攻击与2018年TrendMicro发现的Outlaw黑客组织的攻击非常相似。Outlaw黑客组织最初在2018年瞄准汽车和金融行业，近期再次出现的活动证明了该组织从未停止活动并且与过去相比有所进化。Outlaw在过去曾针对欧洲进行广泛攻击，新出现的活动可能也是如此。调查还发现了攻击者的持续性手段，以及攻击者曾经使用的恶意工具，这些工具显示了Outlaw活动模式中的某种演进^[5]。

4.3 WatchDog

WatchDog挖矿组织自2019年1月被发现，得名于Linux守护进程watchdogd，主要利用暴露的Docker Engine API端点和Redis服务器发起攻击，并且可以快速的从一台受感染的机器转向整个网络。WatchDog挖矿程序由三部分组成，Go语言二进制集和一个bash或PowerShell脚本文件组成。这些二进制文件执行特定功能，其中之一是模拟Linux的watchdogd守护程序功能，以确保挖矿过程不会挂起、负载过载或意外终止。第二个Go二进制文件在提供了针对Linux或Windows系统的目标针对性操作功能后，下载了可配置的IP地址网段列表。最后，第三个Go二进制脚本将使用来自初始化的bash或PowerShell脚本的自定义配置，在Windows或Linux操作系统上启动一个挖矿操作。WatchDog使用Go二进制文件来执行不同操作系统上的操作，例如Windows和Linux，只要目标系统安装了Go语言平台。

4.3.1 组织概览

4.3.2 典型案例

➤WatchDog挖矿组织近期活动分析

2023年，安天CERT捕获了一批活跃的WatchDog挖矿组织样本，该组织主要利用暴露的Docker Engine API端点和Redis服务器发起攻击，并且可以快速的从一台受感染的机器转向整个网络。WatchDog挖矿组织自2019年1月开始被发现，至今仍然活跃。WatchDog挖矿组织主要利用暴露的Redis服务器发起攻击。在Windows端，首先会从放马服务器上下载名为“init.ps1”的PowerShell脚本，该脚本会分别下载挖矿程序进行挖矿、漏洞扫描程序进行扫描、守护进程对挖矿进程进行守护、脚本文件回传主机名及IP地址、exe文件添加管理员组等。在Linux端，会从放马服务器上下载名为“init.sh”的sh脚本，该脚本同样会下载Linux端的挖矿程序、漏洞扫描程序和守护进程，他们的功能与Windows端一样。另外，该脚本还具有以下功能：清空防火墙规则、清除日志、创建计划任务、结束安全产品、添加SSH公钥、结束竞品挖矿、横向移动和结束特定网络连接等^[6]。

➤WatchDog随着新的多阶段挖矿攻击而演变

WatchDog挖矿组织正在开展一项新的挖矿活动，采用先进的入侵、蠕虫病毒传播和规避安全软件的技术。该挖矿组织的目标是暴露的Docker Engine API端点和Redis服务器，并且可以快速从一台受感染的机器转向整个网络。WatchDog通过使用开放端口2375破坏配置错误的Docker Engine API端点来发起攻击，使它们能够在默认设置下访问守护进程^[7]。

4.4 TeamTNT

TeamTNT挖矿组织最早于2019年被发现，主要针对Docker Remote API未授权访问漏洞、配置错误的Kubernetes集群和Redis服务暴力破解进行攻击。入侵成功后，窃取各类登录凭证并留下后门，主要利用目标系统资源进行挖矿并组建僵尸网络。经过近几年发展，该组织控制的僵尸网络规模庞大，所使用的攻击组件更新频繁，是目前针对Linux服务器进行挖矿的主要攻击组织之一。该组织疑似来自德国，其命名方式依据该组织最早使用teamtnt.red域名进行命名。

4.4.1 组织概览

4.4.2 典型案例

➤针对云原生环境的挖矿攻击活动

2023年7月，研究人员发现针对云原生环境的攻击活动，并发现了用于实施攻击的基础设施。该基础设施处于测试和部署的早期阶段，主要针对暴露的JupyterLab和DockerAPI进行攻击，以此传播Tsunami恶意软件，并进行进一步的云凭据劫持、资源劫持和蠕虫感染等攻击活动。对相关基础设施进行调查后，研究人员表示此次攻击活动可能与TeamTNT组织相关^[8]。

➤针对多个云服务平台进行挖矿攻击活动

研究人员发现，此前针对亚马逊网络服务（AWS）证书进行窃密的攻击者，在2023年6月期间在其工具中扩展了针对Azure和Google云平台的模块。研究人员认为此次攻击活动与TeamTNT组织相关联。研究人员在此次攻击活动中发现了标志性的shell脚本，并发现了使用Golang编写的恶意ELF文件。其中值得注意的一点是，攻击者在其脚本中新增了针对Azure和Google云平台的功能，虽然该函数没有被调用，但这表明这些功能正在积极开发中，并可能会被用于此后的攻击活动中^[9]。

4.5 H2Miner

H2Miner挖矿木马最早出现于2019年12月，爆发初期及此后一段时间该挖矿木马都是针对Linux平台，直到2020年11月后，开始利用WebLogic漏洞针对Windows平台进行入侵并植入对应挖矿程序。此外，该挖矿木马频繁利用其他常见Web组件漏洞，入侵相关服务器并植入挖矿程序。例如，2021年12月，攻击者利用Log4j漏洞实施了H2Miner挖矿木马的投放。

4.5.1 组织概览

4.5.2 典型案例

➤Kinsing组织利用Looney Tunables漏洞进行攻击活动

研究人员发现Kinsing组织正在尝试利用披露的名为Looney Tunables的Linux特权升级漏洞，以此入侵云环境。Kinsing组织会获取并执行额外的PHP漏洞利用，去混淆后发现是一个用于进一步攻击活动的JavaScript恶意代码。该JavaScript代码是一个Web Shell，允许攻击者获得服务器的后门访问权限，从而能够执行文件管理、命令执行，并收集有关运行在上面的机器的更多信息。与Kinsing组织以往部署恶意软件和挖矿木马的攻击模式不同，此次攻击的最终目标似乎是窃取与云服务提供商相关的凭据数据^[10]。

➤Kinsing组织利用CVE-2023-46604漏洞进行攻击活动

Kinsing组织正在利用Apache ActiveMQ RCE漏洞（CVE-2023-46604）进行攻击活动，该组织在易受攻击的系统上执行挖矿程序和恶意软件。在启动挖矿程序之前，Kinsing通过终止任何相关进程、crontabs和网络连接来检查机器上是否有其他的Monero挖矿程序。之后，它通过cronjob建立持久性，该cronjob用于获取其感染脚本的最新版本，并将rootkit添加到/etc/ld.so.preload中^[11]。

4.6 Sysrv-hello

Sysrv-hello挖矿木马于2020年12月31日被首次披露，通过漏洞传播，无针对性目标，蠕虫样本更新频繁，是一个活跃在Windows和Linux的双平台挖矿蠕虫。根据其近两年的活动，可将其发展分为三个阶段：前期尝试传播、中期扩大传播和后期注重防御规避并维持传播力度。从三个阶段的样本分析看，其背后黑产组织并不重视维持对目标主机的访问权限，只在中期和后期的Redis漏洞利用中添加了在目标系统中植入SSH公钥的功能；其更加注重收益，尽可能扩展和维持传播能力，由于其后期矿池连接方式采用矿池代理，无法获取其全面的收益情况，但在2021年3月份期间平均每两天收益一个门罗币，按当时市价，即平均每天收益100美元。

4.6.1 组织概览

4.6.2 典型案例

➤典型挖矿家族系列分析三 | Sysrv-Hello挖矿蠕虫

Sysrv-hello是一个利用多种漏洞传播的Windows和Linux双平台挖矿蠕虫，主要目的在于传播挖矿蠕虫，继而实现挖矿获利。该挖矿蠕虫于2020年12月31日被首次披露，由于捕获的大量样本原始文件名以“sysrv”字符串为主，且样本内使用的函数或模块路径中均包含“hello”字符串，研究人员将其命名为Sysrv-hello。Sysrv-hello挖矿蠕虫传播的文件主要有核心脚本、蠕虫母体及挖矿程序。其中核心脚本文件类型有Shell和PowerShell，主要承担下载并执行蠕虫，Linux脚本功能包括结束竞品、防御规避、持久化、横向传播等功能，PowerShell脚本更聚焦在防御规避和持久化上；蠕虫母体是由Golang语言编写，利用各种漏洞进行核心脚本的传播，进而实现自身的间接传播；挖矿程序负责劫持目标主机计算资源以此实施挖矿，该程序主要通过蠕虫母体释放并执行，但存在一段时间由核心脚本负责下载和执行^[12]。

4.7 libgcc_a

2023年，安天CERT接到多起挖矿木马应急响应事件，经过排查发现，多起应急响应事件均与libgcc挖矿木马有关，该挖矿木马在Linux系统上主要以SSH暴力破解进行传播，在Windows系统上主要以RDP暴力破解进行传播。挖矿木马在感染受害主机后，还会进行横向传播进一步感染网内其他主机。利用多种防御手段进行反检测，如会采用开源rootkit工具r77-rootkit，这个工具具有ring 3隐藏功能，可以隐藏文件、目录、进程和CPU的使用情况、注册表项和值、服务、TCP和UDP连接、连接点、命名管道和计划任务等。另外攻击者使用开源门罗币挖矿程序XMRig进行挖矿，在Windows平台利用netpass工具读取本地明文RDP密码等。

4.7.1 组织概览

4.7.2 典型案例

➤揭露r77 Rootkit于XMRig挖矿程序联合部署

研究人员发现了一种恶意加密挖矿器，该挖矿器在亚洲多个国家部署。攻击者利用名为r77的开源用户态Rootkit。r77的主要目的是通过hooking重要Windows API来隐藏系统中其他软件的存在，这使其成为了进行隐秘攻击的理想工具。通过利用r77 Rootkit，恶意加密挖矿器的作者能够逃避检测并持续其攻击活动^[13]。

4.8 Kthmimu

Kthmimu挖矿木马主要通过Log4j 2漏洞进行传播。自Log4j 2漏洞曝光后，该木马挖矿活动较为活跃，同时向Windows与Linux双平台传播恶意脚本，下载门罗币挖矿程序进行挖矿。该挖矿木马在Windows平台上使用PowerShell脚本下载并执行门罗币开源挖矿程序XMRig。除此之外，该脚本还具有创建计划任务持久化、判断系统用户包含关键字符串和创建计划任务等功能。在Linux平台上，木马使用Shell脚本下载挖矿程序，并且该脚本还会清除具有竞争关系的其它挖矿程序、下载其它脚本和创建计划任务等功能。

4.8.1 组织概览

4.8.2 典型案例

➤活跃的Kthmimu挖矿木马分析

自2022年3月以来，安天CERT陆续捕获到Kthmimu挖矿木马攻击样本，该木马主要通过Log4j 2漏洞进行传播。自Log4j 2漏洞曝光后，该木马挖矿活动较为活跃，同时向Windows与Linux双平台传播恶意脚本，下载门罗币挖矿程序进行挖矿^[14]。

4.9 aminer

2023年6月，安天CERT通过捕风蜜罐系统捕获了一批活跃的挖矿木马样本，该挖矿木马主要利用SSH和Redis弱口令暴力破解对Linux平台进行攻击。由于其初始脚本中下载挖矿文件的名称为“aminer.gz”，因此安天CERT将该挖矿木马命名为“aminer”。

4.9.1 挖矿木马概览

4.9.2 典型案例

➤aminer挖矿木马活动分析

aminer挖矿木马初始攻击脚本实际由一连串指令组成，其中包括写入指定DNS服务器地址、使用yum包管理器安装一系列工具和库、下载install.tgz文件解压后执行install脚本、下载ns2.jpg文件内存执行、下载aminer.gz文件解压后执行start脚本进行挖矿。install.tgz文件中包含很多与系统文件重名的恶意文件，如top等。这些文件均由install脚本调用，主要功能包括添加SSH公钥、替换系统文件如top、netstat、crontab等、执行irc客户端建立后门、过滤端口号为20和43的网络连接等。ns2.jpg实际为Perl语言编写的脚本文件，用于实现ShellBot功能。运行后会连接irc服务器，端口号为20。aminer.gz压缩包中包含针对两种操作系统架构的挖矿程序，start脚本执行后会根据当前受害者的操作系统架构决定使用哪个挖矿程序，创建一个服务进行持久化，最后执行挖矿程序进行挖矿^[15]。

4.10 Diicot

Diicot挖矿组织（也称color1337、Mexals），以互联网下暴露22端口的设备作为攻击目标，使用SSH暴力破解工具实施入侵。成功后，根据设备CPU性能，利用托管网站下发不同载荷。当设备性能较弱时，从托管网站下载相应工具和脚本，实施扫描和暴力破解进行传播；当设备性能较强时，下载挖矿程序进行挖矿。

4.10.1 组织概览

4.10.2 典型案例

➤Diicot挖矿组织近期攻击活动分析

2023年6月，国家计算机网络应急技术处理协调中心（CNCERT/CC）和安天联合监测发现Diicot挖矿组织（也称color1337、Mexals）频繁发起攻击活动，境内受害服务器多达600余台。通过对攻击者使用的C2资源进行分析发现，攻击者于2022年10月13日至2023年5月27日期间不断更新攻击载荷，增加shc加密等手法以达成免杀的目的。跟踪监测发现2023年3月1日至今，境内受害服务器（以 IP 数计算）累计600余台^[16]。

https://www.antiy.cn/research/notice&report/research_report/20220428.html

https://www.fortinet.com/blog/threat-research/old-cyber-gang-uses-new-crypter-scrubcrypt

https://www.trendmicro.com/en_za/research/23/e/8220-gang-evolution-new-strategies-adapted.html

https://www.antiy.cn/research/notice&report/research_report/20221103.html

https://hackernoon.com/outlaw-hacking-group-resurfaces

https://www.antiy.cn/research/notice&report/research_report/WatchDogTrojans_Analysis.html

https://www.cadosecurity.com/tales-from-the-honeypot-watchdog-evolves-with-a-new-multi-stage-cryptojacking-attack/

https://blog.aquasec.com/threat-alert-anatomy-of-silentbobs-cloud-attack

https://www.sentinelone.com/labs/cloudy-with-a-chance-of-credentials-aws-targeting-cred-stealer-expands-to-azure-gcp/

https://blog.aquasec.com/loony-tunables-vulnerability-exploited-by-kinsing

https://www.trendmicro.com/en_nz/research/23/k/cve-2023-46604-exploited-by-kinsing.html

https://www.antiy.cn/research/notice&report/research_report/20230112.html

https://www.elastic.co/security-labs/elastic-security-labs-steps-through-the-r77-rootkit

https://www.antiy.cn/research/notice&report/research_report/20220527.html

https://www.antiy.cn/research/notice&report/research_report/aminer_Analysis.html

[16] CNCERT/安天. Diicot挖矿组织近期攻击活动分析[R/OL].(2023-06-28)