Telegram被用在云端Windows Server发动挖矿攻击

Splunk安全研究人员发现一桩挖矿攻击，骇客结合Telegram作为攻击工具，锁定Amazon Web Service（AWS）上的Windows Server植入挖矿软件。

Splunk近日侦测到的一个挖矿僵尸网络（crypto botnet），骇客使用了加密通讯程式Telegram作为C&C（command and control）架构的一部分，用它来控制散布在网络上的僵尸网络程式。Splunk分析发现攻击来源IP来自中国及伊朗，背后的攻击者锁定AWS中启用远端桌面协定（Remote Desktop Protocol，RDP）的Windows Server系统，并利用僵尸网络来控制。

Telegram是新兴的加密通讯程式。截至今年1月，Telegram包含iOS及Android版，已是下载次数最多的应用程序。它还有桌面版，可透过Telegram API整合行动账号。该API也能用于远端执行指令。而这也是这次骇客得以发动攻击的主要管道。

在这次攻击中，骇客首先是锁定AWS中启用RDP协定的Windows Server。攻击者以RDP暴力破解工具，来破解采用弱密码防护的Windows Server。成功存取后，就在Windows Server中植入NL Brute、KPort Scan 和NLA Checker等骇客论坛中找到的特定攻击工具，进而安装Telegram Desktop，当成C&C基础架构的一部分，并且在受害系统中植入采矿程式，如minergate和xmrig，两者都是用来产生门罗币（Monero）的工具。

图片来源_Splunk

Splunk研究团队发现到其中一个电子钱包和2018年的一宗挖矿攻击有关，只是这次还用上了Telegram。而攻击来源也可追溯到中国及伊朗。研究证据显示中国是部分恶意网域所在，而伊朗则是主要攻击发动来源。

研究人员建议企业防范方法包括定期更新修补程式，使用强密码，此外，研究人员建议，RDP启用网域层认证（Network-Level Authentication），通常可防范部分暴力破解工具及非Windows RDP用户端的存取企图。