思科披露近期活跃的加密货币矿工

非法挖掘加密货币仍然是2018年最常见的威胁之一。攻击者窃取受损设备的CPU周期挖掘加密货币，从而获取金钱利益。传播挖掘恶意软件的活动还可以通过其他方式危及受害者，例如在传播远程访问木马(rat)和其他恶意软件。

思科Talos团队通过在过去一年中对非法加密货币采矿活动的调查，观察到了许多人共享了非常相似的TTP，最初他们错误地将其解释为归因于单个参与者。在完成对这些攻击钱包和C2服务器的分析后，研究者发现过去一年中的一系列非法采矿活动可能是由不同攻击者发起的，这说明在非法采矿活动中普遍存在使用分享或复制工具的现象。

Talos团队在跟踪多产演员Rocke（擅长利用脚本充当勒索软件或对其他易受攻击的服务器进行类似蠕虫的传播）时，注意到其他的攻击小组也在使用类似的TTP。而顺着Rocke在GitHub上开发的一个项目他们发现了8820非法挖矿组织（因为使用TCP端口8220与其恶意软件基础架构和C2服务器进行通信，故以8820命名，因利用恶意Docker图像加密受损服务而闻名）。此外，基于tor2web服务用于C2通信的特性，研究者发现了tor2mine小组。尽管研究人员还发现了与上文提到的有相似之处的其他演员，但目前无法通过网络基础设施或加密钱包连接他们。

通过跟踪这些组织的钱包，研究人员估计他们持有并支付了大约1,200枚门罗币的费用。根据公开报道及调查，这些组织共获得了价值数十万美元的加密货币。然而，由于门罗币的价值非常不稳定而难以确定货币售出时的价值，因此很难确定它们的准确金额。Talos团队也无法跟踪某些类型钱包的持有和付款，例如MinerGate。

2018年1月，一枚Monero硬币售价超过400美元。现在相同的门罗价值只有45美元。不难看出，在过去的几个月里，门罗币的价值急剧下降。自去年11月以来，Talos观察到其蜜罐中这些参与者的活动有所减少，尽管来自其他参与者的加密货币攻击仍在继续。

由于加密货币的价值如此之低，威胁行为者将开始提供不同类型的有效载荷。例如，Rocke一直在开发具有破坏性功能的新勒索软件。然而，Rocke的GitHub页面显示，截至11月初，他们仍在继续挖掘以挖掘加密币为重点的存储库，包括静态构建的XMRig。后续其他变化仍然有待观察。