【安全资讯】“驱动人生”挖矿木马通过Outlaw僵尸网络模块进行广泛传播

近日，研究人员监测到“驱动人生”挖矿木马再次进行了大版本的更新，针对Windows、Linux平台都引入了新的攻击模块，并在企业、政府、能源和科研教育等行业进行广泛传播。



“驱动人生”挖矿木马，也被称为永恒之蓝木马下载器、蓝茶、黑球、DTLMiner、LemonDuck等，其自2018年12月的供应链攻击事件以来，一直保持着很高的活跃度，并不断优化更新免杀手段、攻击手法和传播方式，成为最活跃的挖矿家族之一。本次更新中Linux挖矿模块引用了大量Outlaw僵尸网络的代码，同时新增使用WebLogic未授权命令执行漏洞（CVE-2020-14882/14883）攻击模块（从2020年12月份已更新），其整体的攻击及传播能力得到明显的提升。值得一提的是，在分析过程中还发现病毒作者的开发环境疑似被Ramnit家族感染，部分模块中还包含Ramnit感染代码。

“驱动人生”挖矿木马变种在前两周仍然处于活跃状态，并在最近一段时间内有增长趋势。从恶意流量数据来看，企业、政府、能源、科研教育和制造业行业是主要受攻击群体。