腾讯安全御见威胁情报中心检测到挖矿蠕虫病毒BuleHero于11月11日升级到4.0版。在此次更新中,BuleHero引入了多种新漏洞的使用,包括2019年9月20日杭州警方公布的“PHPStudy“后门事件中涉及的模块漏洞利用。该团伙善于学习和使用各类Web服务器组件漏洞。包括以前用到的Tomcat任意文件上传漏洞、Apache Struts2远程代码执行漏洞、Weblogic反序列化任意代码执行漏洞,又引入了Drupal远程代码执行漏洞、Apache Solr 远程命令执行漏洞、PHPStudy后门利用,使得其攻击方法增加到十个之多。BuleHero在进入目标系统后,首先通过命令下载downlaod.exe,然后downlaod.exe下载主模块swpuhostd.exe,swpuhostd.exe释放密码抓取
工具,端口扫描工具,永恒之蓝攻击工具进行扫描和攻击,同时依次进行行多种web服务组件的探测和漏洞利用攻击,并在中招
电脑下载挖矿木马和远程控制木马。根据腾讯安全御见威胁情报中心数据,BuleHero挖矿蠕虫病毒目前感染超过3万台电脑,影响最严重地区为广东,北京,江苏,山东等地,影响较严重的行业分别为互联网,科技服务,贸易服务业。
点击图片查看原图
