2017年5月，“永恒之藍”席卷全球，有90個國家遭到攻擊，國內(nèi)教育網(wǎng)是遭到攻擊的重災區(qū)，大量校園網(wǎng)用戶成為攻擊目標，致使許多實驗數(shù)據(jù)及畢業(yè)設(shè)計被鎖。

近日，騰訊安全威脅情報中心檢測到永恒之藍下載器木馬再次出現(xiàn)新變種，此次變種利用Python打包EXE可執(zhí)行文件進行攻擊，該組織曾在2018年底使用過類似手法。

騰訊安全大數(shù)據(jù)監(jiān)測數(shù)據(jù)顯示，永恒之藍下載器最新變種出現(xiàn)之后便迅速傳播，目前已感染約1.5萬臺服務(wù)器，中毒系統(tǒng)最終用于下載運行門羅幣挖礦木馬。騰訊方面表示，永恒之藍下載器木馬在不斷演進更新過程中，曾將EXE攻擊方式逐步切換到利用Powershell腳本實現(xiàn)無文件攻擊。在其功能越來越龐大之后，該黑產(chǎn)團伙再次將永恒之藍漏洞攻擊利用、mssql爆破攻擊的代碼重新添加到EXE木馬中，并對Powershell中相關(guān)代碼進行屏蔽。被本次變種攻擊失陷后的系統(tǒng)會下載if.bin、下載運行由隨機字符串命名的EXE攻擊模塊進行大規(guī)模的漏洞掃描和攻擊傳播，同時會下載門羅幣挖礦木馬占用服務(wù)器大量CPU資源挖礦，會給受害企業(yè)造成嚴重生產(chǎn)力損失。騰訊安全專家建議企業(yè)網(wǎng)管對企業(yè)網(wǎng)絡(luò)資產(chǎn)進行安全檢測，以及時消除永恒之藍下載器木馬的破壞活動。

（舉報）