骇客利用Drupal等32种软件漏洞，对Windows及类UNIX系统发动大规模挖矿攻击

安全厂商Palo Alto本周揭露一只名为Watchdog的挖矿程式，锁定并劫持Windows及类UNIX系统挖矿至少2年，是已知规模最大、时间最长的Monero挖矿劫持攻击。

Palo Alto旗下的Unit42安全实验指出，WatchDog名称是从Linux精灵程式watchdogd而来。它至少从2019年1月就开始感染服务器，并暗中从事门罗币（Monero）的挖矿。

控制WatchDog的骇客利用33种不同的开采工具，来骇入目标系统的32项软件漏洞。他们的目标软件包括Drupal、Elasticsearch、Apache Hadoop、Redis、SQLServer、ThinkPHP及Oracle WebLogic。研究人员估计WatchDog由3种Go语言写成的二进制程式，及一个bash或PowerShell script档组成。这些二进制程式，一个模拟Linux watchdogd精灵确保挖矿过程不会无预期中断或终止，一个下载之前扫描找到的一组Windows或NIX目标系统的IP地址清单，以便对这些机器执行开采指令，另一个则利用bash或PowerShell script，对这些系统启动挖矿。使用Go二进制程式让WatchDog可在不同OS上（Windows或NIX）执行，只要目标系统安装Go平台。

Unit42小组研究人员找到WatchDog部署的僵尸网络架构，辨识出18个根IP终端及7台恶意网域，可支援至少125个可下载工具到受害系统的URL。

研究人员判断，WatchDog控制的机器大约在500到1000台之间，其中以Windows及类UNIX云端执行个体为主，平均至少控制476台系统保持运作，产出的算力达1,037KH/s，两年来这只程式至少挖了209个Monero（XMR），价格约32,056美元。

这并非Palo Alto第一次发现会自主感染的挖矿程式。2019年他们也曾发现名为Graboid的挖矿蠕虫，劫持超过2,000台Docker Hub主机用于挖掘Monero加密货币。Graboid在被发现并移除前曾潜伏了3个月。

但是WatchDog似乎更高明。它不需要第三方服务器来下载恶意酬载，这使得它得以持续挖矿活动，时间超过2年。

研究人员认为运作WatchDog的骇客经验老道，虽然目前尚未看到它已骇入云端系统，像是窃取云端平台的身份及存取管理（IAM）系统的登入权限、存取ID或金钥，但相当有可能日后骇入云端账号。这群人极可能在植入挖矿软件时取得根账号或管理员存取权限，进而取得了云端系统的IAM相关资讯。

研究人员建议系统管理员应确保系统软件在新版本，以免自家系统成了骇客的挖矿机器。