【安全资讯】Kthmimu挖矿木马分析报告

自2022年三月以来，研究人员陆续捕获到Kthmimu挖矿木马攻击样本，该木马主要通过Log4j 2漏洞进行传播。自Log4j 2漏洞曝光后，该木马挖矿活动较为活跃，同时向Windows与Linux双平台传播恶意脚本，下载门罗币挖矿程序进行挖矿。该挖矿木马在Windows平台上使用PowerShell脚本下载并执行门罗币开源挖矿程序XMRig。除此之外，该脚本还具有创建计划任务持久化、判断系统用户包含关键字符串和创建计划任务等功能。在Linux平台上，木马使用Shell脚本下载挖矿程序，并且该脚本还会清除竞品挖矿程序、下载其它脚本和创建计划任务等功能。