2024年活跃挖矿木马盘点

1 概述

挖矿木马通过各种手段将挖矿程序植入受害者的计算机中，在用户不知情的情况下，利用受害者计算机的运算能力进行挖矿，从而获取非法收益。目前已知多个威胁组织（例如，H2Miner、“8220”等）传播挖矿木马，致使用户系统资源被恶意占用和消耗、硬件寿命被缩短，严重影响用户生产生活，妨害国民经济和社会发展。2024年，安天CERT捕获了多起挖矿木马的攻击活动，现将2024年典型的挖矿木马梳理形成组织/家族概览，进行分享。

表 1‑1 2024年活跃挖矿木马组织/家族概览

2 挖矿木马的危害

1.加重信息系统基础设施资源消耗与运行风险：挖矿木马普遍消耗信息系统基础设施的大量资源，使操作系统及其服务、应用软件运行缓慢，甚至造成正常服务崩溃，产生承载业务中断、业务数据丢失等一系列负面影响；

2.危害信息系统基础设施使用寿命与运行性能：挖矿木马迫使信息系统基础设施长时间高负载运行，致使其使用寿命缩短，运行性能严重下降；

3.留置后门，衍生僵尸网络：挖矿木马普遍具有添加SSH免密登录后门、安装RPC后门，接收远程IRC服务器指令、安装Rootkit后门等恶意行为，致使受害组织网络沦为僵尸网络；

4.作为攻击跳板，攻击其他目标：挖矿木马支持攻击者控制受害者服务器进行DDoS攻击，以此服务器为跳板，攻击其他计算机，或者释放勒索软件索要赎金等。

3 挖矿木马趋势

3.1 BYOVD攻击成挖矿木马“新宠”

在2024年的挖矿木马事件应急响应中，安天CERT发现挖矿木马利用BYOVD（Bring Your Own Vulnerable Driver）攻击结束安全软件进程的案例增多。BYOVD攻击是APT中常见的攻击技术，现在挖矿攻击中也逐渐开始利用这种技术。它利用合法但存在漏洞的驱动程序来执行恶意操作，绕过安全防护措施。驱动程序运行在高权限的内核模式，攻击者可以通过其漏洞实现多种攻击目的。在挖矿攻击中，攻击者通过滥用合法安全厂商签名的驱动程序，绕过操作系统的安全机制，为挖矿活动提供支撑。这种手法不仅提升了攻击的隐蔽性，还利用安全软件的高权限执行能力，大幅增强了恶意挖矿的资源占用效率。在未来，BYOVD攻击可能与零日漏洞利用相结合，进一步提高攻击的复杂性和破坏性。这一趋势对政企安全提出更高的要求，防护重点应包括驱动程序的合法性检测与运行时行为监控等。

3.2 暗网矿池地址的兴起

2024年，安天CERT在监测挖矿攻击中发现个别挖矿木马采用了暗网地址进行挖矿的事件，如Perfctl恶意软件利用TOR进行挖矿，Outlaw挖矿僵尸网络在配置文件中添加了暗网地址，但还未开发出tor进行连接。这一趋势表明，攻击者正在加速向更隐秘、更难追踪的挖矿方式转型，以逃避传统安全防护和执法行动的打击。通过Tor网络或其他匿名通信协议，矿池运营者能够有效隐藏其真实位置和身份，难以被执法部门定位和取缔。暗网矿池普遍采用加密货币作为支付手段，结合匿名钱包技术，实现了攻击收益的完全匿名化。随着暗网矿池技术的不断成熟，传统基于互联网的挖矿威胁检测手段将变得无效。政企需调整防护策略，关注挖矿通信的特征分析和暗网流量的异常检测。

3.3合理资源分配致用户难以感知

2024年，挖矿木马在资源利用上更加智能化，表现为更合理的资源分配策略。如app Miner挖矿木马会检查系统环境是否有curl、Python、Perl等工具，如果没有会进行下载适配，在不同的系统上动态的调整CPU的功率或资源使用参数。Outlaw挖矿僵尸网络会获取目标主机的系统架构，根据系统架构调整默认线程数，arm架构线程数设置为75，i686架构线程数设置为325，其他架构默认线程数为475。这种趋势不仅提升了挖矿效率，还极大地增强了挖矿木马被发现感知的风险。智能化资源分配根据系统负载动态调整CPU和GPU的使用率，避免引起设备异常或用户注意。挖矿进程被设计为低优先级任务，在设备闲置时充分利用资源，而在用户活跃时降低消耗，从而延长挖矿周期。这种智能化资源分配的趋势使挖矿木马更具隐蔽性和持续性，成为网络威胁防护的难点。

4 活跃挖矿木马介绍

4.1“8220”

“8220”是一个长期活跃并且擅长使用漏洞进行攻击并部署挖矿程序的组织，该组织早期使用Docker镜像传播挖矿木马，后来逐步利用多个漏洞进行攻击，如WebLogic漏洞、Redis未授权访问漏洞、Hadoop Yarn未授权访问漏洞和Apache Struts漏洞等。在2020年发现该组织开始使用SSH暴力破解进行横向攻击传播。自Apache Log4j 2远程代码执行漏洞曝光后，该组织利用该漏洞制作漏洞利用脚本进行传播，影响范围广。

4.1.1组织概览

表 4‑1 “8220”挖矿组织介绍

4.1.2典型案例

·针对Oracle WebLogic漏洞的攻击活动分析

Water Sigbin(8220 Gang)是一个专注于部署加密货币挖矿恶意软件的威胁行为者，它积极针对Oracle WebLogic服务器。该威胁行为者利用Oracle WebLogic Server中的漏洞（特别是CVE-2017-3506和CVE-2023-21839）通过PowerShell脚本部署加密货币挖矿程序。研究人员分析了用于传递PureCrypter加载器和XMRIG加密挖掘器的多阶段加载技术。此活动期间使用的所有有效载荷均使用.Net Reactor（一种.NET代码保护软件）进行保护，以防止逆向工程。此保护会混淆代码，使防御者难以理解和复制。此外，它还采用了反调试技术。有效载荷是通过利用CVE-2017-3506来传递的[1]。

·8220挖矿团伙的新玩具：k4spreader

2024年6月17号研究人员发现了一个VT 0检测的使用c语言编写的ELF样本，这个样本使用变形的upx加壳，脱壳后得到了另一个变形的upx加壳的elf文件，使用cgo的方式编写。经过分析发现这是来自“8220”挖矿团伙的新工具，用来安装其他恶意软件执行，主要是构建Tsunami DDoS僵尸网络和安装PwnRig挖矿程序。根据样本中的函数名称将其命名为“k4spreader”，进一步分析了VT的和蜜罐的数据后，发现k4spreader尚处于开发阶段，但已经出现3个变种[2]

4.2 Outlaw

Outlaw挖矿僵尸网络最早于2018年被发现，主要针对云服务器实施挖矿攻击，持续活跃。疑似来自罗马尼亚，最早由趋势科技将其命名为Outlaw，中文译文为“亡命徒”。该挖矿僵尸网络首次被发现时，攻击者使用Perl脚本语言的后门程序构建机器人，因此被命名为“Shellbot”。其主要传播途径是SSH暴力破解攻击目标系统并写入SSH公钥，以达到长期控制目标系统的目的，同时下载基于Perl脚本语言编写的后门和开源门罗币挖矿木马。

4.2.1 组织概览

表 4‑2 Outlaw挖矿僵尸网络介绍

4.2.2典型案例

·Outlaw挖矿僵尸网络近期活动分析

安天CERT监测到多起Outlaw挖矿僵尸网络攻击事件，该挖矿僵尸网络最早于2018年被发现，主要针对云服务器从事挖矿活动，持续活跃。安天CERT在分析近期的攻击事件中发现，该挖矿僵尸网络样本在第三版本基础上有了重要更新，其功能更加多样、隐匿性更高、清除更加困难。主要传播途径和功能依旧是SSH暴力破解攻击目标系统，植入SSH公钥，以达到长期控制目标系统的目的，同时下载执行基于Perl脚本语言编写的后门和开源门罗币挖矿木马，使用扫描和暴力破解工具对其他主机进行相应攻击[3]。

4.3 TeamTNT

TeamTNT挖矿组织最早于2019年被发现，主要针对Docker Remote API未授权访问漏洞、配置错误的Kubernetes集群和Redis服务暴力破解进行攻击。入侵成功后，窃取各类登录凭证并留下后门，主要利用目标系统资源进行挖矿并组建僵尸网络。经过近几年发展，该组织控制的僵尸网络规模庞大，所使用的攻击组件更新频繁，是目前针对Linux服务器进行挖矿的主要攻击组织之一。该组织疑似来自德国，其命名方式依据该组织最早使用teamtnt.red域名进行命名。

4.3.1组织概览

表 4‑3 TeamTNT挖矿组织介绍

4.3.2典型案例

·TeamTNT组织发起新一轮攻击活动

研究人员发现了TeamTNT正在策划一场新的攻击活动。在这次攻击活动中，TeamTNT似乎回归本源，准备对云环境进行大规模攻击。该组织目前以暴露的Docker守护进程为目标，部署Sliver恶意软件、网络蠕虫和加密矿工，使用受感染的服务器和Docker Hub作为传播恶意软件的基础设施。在此次活动中，TeamTNT通过将受感染的Docker实例附加到Docker Swarm并利用Docker Hub存储和分发恶意软件。他们还将受害者的计算能力出租给第三方，有效地通过加密货币挖矿间接赚钱，而无需自己管理。此外，他们还采用了新的黑客工具，用更隐蔽的Sliver恶意软件取代了传统的Tsunami后门[4]。

·地平线上的乌云：TeamTNT的复苏？

研究人员发现了TeamTNT新的活动影响基于CentOS操作系统的VPS云基础设施的明确证据。调查显示，初始访问是通过对受害者资产进行安全外壳(SSH)暴力破解实现的，在此期间威胁行为者上传了恶意脚本。恶意脚本在搜索现有矿工时会禁用安全功能、删除日志并修改系统文件。还会终止加密货币挖掘过程、删除Docker容器并更新Google服务器的DNS设置。安装Diamorphine工具包以实现隐藏和root权限，并使用自定义工具来维持持久性和控制。通过修改文件属性、创建具有root访问权限的后门用户以及删除命令历史记录来锁定系统，以隐藏其活动[5]。

4.4 H2Miner

H2Miner挖矿木马最早出现于2019年12月，爆发初期及此后一段时间该挖矿木马都是针对Linux平台，直到2020年11月后，开始利用WebLogic漏洞针对Windows平台进行入侵并植入对应挖矿程序。此外，该挖矿木马频繁利用其他常见Web组件漏洞，入侵相关服务器并植入挖矿程序。例如，2021年12月，攻击者利用Log4j漏洞实施了H2Miner挖矿木马的投放。

4.4.1组织概览

表 4‑4 H2Miner挖矿组织介绍

4.4.2典型案例

·Kinsing组织将新披露的漏洞集成到漏洞利用库中并扩展其僵尸网络

Kinsing组织将新披露的漏洞集成到漏洞利用库中并扩展其僵尸网络。该组织自2019年以来积极策划非法加密货币挖矿活动。近年来，涉及基于Golang的恶意软件的活动利用了Apache ActiveMQ、Apache Log4j、Apache NiFi、Atlassian Confluence、Citrix、Liferay Portal、Linux、Openfire、Oracle WebLogic Server和SaltStack中的各种缺陷来破坏易受攻击的系统[6]。

4.5 Libgcc_a

Libgcc_a挖矿木马在Linux系统上主要以SSH暴力破解进行传播，在Windows系统上主要以RDP暴力破解进行传播。挖矿木马在感染受害主机后，还会进行横向传播进一步感染网内其他主机。利用多种防御手段进行反检测，如会采用开源rootkit工具r77-rootkit，这个工具具有ring 3隐藏功能，可以隐藏文件、目录、进程和CPU的使用情况、注册表项和值、服务、TCP和UDP连接、连接点、命名管道和计划任务等。另外攻击者使用开源门罗币挖矿程序XMRig进行挖矿，在Windows平台利用netpass工具读取本地明文RDP密码等。

4.5.1 组织概览

表 4‑5 Libgcc_a挖矿组织介绍

4.5.2 典型案例

·Libgcc_a挖矿木马分析与处置

近期，安天安全服务中心收到多个用户安全服务委托，部署在用户网内的防护设备产生了大量暴力破解攻击告警，同时用户业务系统运行卡顿。经安天安全服务中心应急响应团队取证分析，发现为感染了Libgcc_a挖矿木马，该木马为专门针对Linux系统，可通过SSH弱口令进行横向感染和控制其它主机，自身隐蔽能力强。感染后动作包括下载挖矿程序挖矿、添加系统后门、内网扫描伺机进一步传染、清除安全软件和竞争对手等，该木马功能模块化、攻击自动化均较强，在自身持久化、行为隐藏、反侦察等方面有改进，感染后传统方式不易发现[7]。

4.6 Perfctl

Perfctl是一种Linux端的恶意软件，至少在过去三年间一直在感染Linux服务器和工作站，未被广泛察觉。该恶意软件利用漏洞和错误配置入侵系统，主要目的是通过服务器的CPU资源进行门罗币挖矿。Perfctl使用rootkit技术躲避检测，利用TOR加密通信隐藏其活动。感染后，恶意软件不仅会隐藏其进程，还会在用户登录时停止挖矿，使其难以被察觉。

4.6.1 组织概览

表 4‑6 Perfctl挖矿组织介绍

4.6.2 典型案例

·Linux恶意软件“Perfctl”背后隐藏多年加密货币挖矿活动

研究人员发现，名为“Perfctl”的Linux恶意软件至少在过去三年间一直在感染Linux服务器和工作站，未被广泛察觉。该恶意软件利用漏洞和错误配置入侵系统，主要目的是通过服务器的CPU资源进行门罗币（Monero）挖矿。Perfctl使用rootkit技术躲避检测，利用TOR加密通信隐藏其活动。感染后，恶意软件不仅会隐藏其进程，还会在用户登录时停止挖矿，使其难以被察觉。据估计，数千台服务器已经受到感染[8]。

·攻击者利用暴露的Docker API部署Perfctl恶意软件

研究人员发现攻击者通过暴露的Docker远程API服务器部署Perfctl恶意软件。攻击者首先探测目标服务器，然后利用Docker API创建特权容器，执行经过Base64编码的恶意载荷。该载荷包含逃逸容器、创建恶意脚本、设置环境变量并下载伪装成PHP扩展的恶意二进制文件等步骤。此外，攻击者使用多种规避检测技术，例如检查重复进程、创建伪装目录，并通过自定义下载功能规避防护机制。为实现持久性，恶意软件创建了系统服务或计划任务[9]。

4.7 “匿铲”

“匿铲”挖矿木马从2023年11月开始出现，期间多次升级组件，目前版本为3.0。该挖矿木马攻击事件持续活跃，感染量呈上升态势。主要特点是隐蔽性强、反分析、DLL劫持后门和shellcode注入等。在发现的攻击活动中，攻击者利用了两个比较新颖的技术以对抗反病毒软件，第一个技术是滥用反病毒软件的旧版本内核驱动程序中的功能来结束反病毒软件和EDR，这个技术通过一个主体的PowerShell脚本、一个独立的PowerShell脚本和一个控制器（内存加载的小型可执行文件）来完成，主体的PowerShell脚本用于下载并安装反病毒软件的旧版本内核驱动程序，独立的PowerShell脚本用于解密并内存加载控制器，控制器用来控制内核驱动程序。虽然被滥用的旧版本内核驱动程序早已更新，但目前仍能被非法利用并有效结束大多数反病毒软件。第二个技术是利用MSDTC服务加载后门DLL，实现自启动后门，达到持久化的目的。这个技术利用了MSDTC服务中MTxOCI组件的机制，在开启MSDTC服务后，该组件会搜索oci.dll，默认情况下Windows系统不包含oci.dll。攻击者会下载后门DLL重命名为oci.dll并放在指定目录下，通过PowerShell脚本中的命令创建MSDTC服务，这样该服务会加载oci.dll后门，形成持久化操作。

4.7.1 组织概览

表 4‑7 “匿铲”挖矿组织介绍

4.7.2 典型案例

·“匿铲”挖矿木马活动分析

“匿铲”挖矿木马首先会从放马服务器上下载名为“get.png”的PowerShell脚本，解码后执行哈希验证、创建计划任务、禁用系统自带杀毒软件和创建服务等操作。之后会下载“kill.png”脚本和“delete.png”、“kill(1).png”两个压缩文件，脚本解码出shellcode代码，shellcode代码经过解密得到控制器（一个可执行文件）并注入到powershell.exe进程中，两个压缩文件经过解压缩得到反病毒厂商的旧版本内核驱动程序“aswArPots.sys”和“IObitUnlockers.sys”，由控制器调用，终止杀毒软件和EDR程序等。还会根据受害主机自身系统型号下载对应的“86/64.png”的压缩文件，解压缩后会得到oci.dll文件，通过MSDTC服务调用实现DLL劫持后门。在“get.png”脚本中还看到了下载“backup.png”脚本的地址，但下载函数还未实现，可能后续版本会加，该脚本主要功能是发送心跳接收命令等。最后“get.png”脚本会下载“smartsscreen.exe”程序，该程序会下载挖矿程序及其组件进行挖矿[10]。

·隐形矿工：揭秘GHOSTENGINE的加密货币挖矿行动

研究人员已发现一个入侵集，其中包含多个恶意模块，并利用易受攻击的驱动程序来禁用已知的安全解决方案(EDR)以进行加密挖掘。此外，该团队还发现了建立持久性、安装以前未记录的后门以及执行加密挖掘程序的功能。研究人员将此入侵集称为REF4578，将主要有效载荷称为GHOSTENGINE[11]。

4.8 RedTail

RedTail挖矿木马是一种利用系统漏洞进行传播并实施加密货币挖掘的恶意软件。它通过多种高危漏洞（如Palo Alto Networks防火墙漏洞、TP-Link路由器漏洞等）入侵目标系统，并植入XMRig挖矿程序的变种，挖掘门罗币。该木马具有高度隐蔽性，采用加密配置、反调试技术以及动态调整挖矿参数等方式，避免被轻易发现并确保挖矿效率。它还支持多平台架构，能够根据系统资源优化自身运行。RedTail不仅会占用大量系统资源，导致设备运行缓慢、电费增加，还可能成为攻击者进一步入侵的入口，带来严重的安全隐患。

4.8.1 组织概览

表 4‑8 RedTail挖矿组织介绍

4.8.2 典型案例

·RedTail挖矿组织利用PAN-OS(CVE-2024-3400)漏洞展开攻击

2024年5月，研究人员披露，RedTail挖矿组织已经将Palo Alto的PAN-OS CVE-2024-3400漏洞纳入其攻击工具包。该漏洞允许攻击者通过操控SESSID cookie，利用路径遍历技术在受害系统上创建任意文件，并执行命令。此次攻击的目标包括IoT设备（如TP-Link路由器）、ThinkPHP内容管理系统、以及Ivanti Connect Secure和Palo Alto GlobalProtect等安全设备。攻击者通过多个漏洞传播恶意软件，最终目的是加密挖掘Monero（XMR）数字货币[12]。

附录一：参考资料

[1] TREND.Examining Water Sigbin's Infection Routine Leading to an XMRig Cryptominer[R/OL].(2024-06-28)

https://www.trendmicro.com/en_us/research/24/f/water-sigbin-xmrig.html

[2] 奇安信.8220挖矿团伙的新玩具：k4spreader[R/OL].(2024-06-25)

https://blog.xlab.qianxin.com/8220-k4spreader-new-tool-cn/

[3] 安天.Outlaw挖矿僵尸网络近期活动分析[R/OL].(2025-01-10)

https://www.antiy.cn/research/notice&report/research_report/Outlaw_Analysis.html

[4] aqua.TeamTNT’s Docker Gatling Gun Campaign[R/OL].(2024-10-25)

https://www.aquasec.com/blog/threat-alert-teamtnts-docker-gatling-gun-campaign/

[5] GROUP-IB.Storm clouds on the horizon: Resurgence of TeamTNT?[R/OL].(2024-09-18)

https://www.group-ib.com/blog/teamtnt/

[6] aqua.Kinsing Demystified[R/OL](2024-05-21)

https://1665891.fs1.hubspotusercontent-na1.net/hubfs/1665891/Threat%20reports/AquaSecurity_Kinsing_Demystified_Technical_Guide.pdf

[7] 安天.干货分享丨Libgcc_a挖矿木马分析与处置[R/OL](2024-03-13)

https://mp.weixin.qq.com/s/2UhXr3up--5cW3BrP6njxw

[8] aqua.perfctl: A Stealthy Malware Targeting Millions of Linux Servers[R/OL](2024-10-03)

https://www.aquasec.com/blog/perfctl-a-stealthy-malware-targeting-millions-of-linux-servers/

[9] TREND.Attackers Target Exposed Docker Remote API Servers With perfctl Malware[R/OL](2024-10-21)

https://www.trendmicro.com/en_hk/research/24/j/attackers-target-exposed-docker-remote-api-servers-with-perfctl-.html

[10] 安天.“匿铲”挖矿木马活动分析[R/OL](2024-05-10)

https://www.antiy.cn/research/notice&report/research_report/HideShoveling.html

[11] elastic.Invisible miners: unveiling GHOSTENGINE’s crypto mining operations[R/OL](2024-05-22)

https://www.elastic.co/security-labs/invisible-miners-unveiling-ghostengine

[12] Akamai.RedTail Cryptominer Threat Actors Adopt PAN-OS CVE-2024-3400 Exploit[R/OL](2024-05-30)

https://www.akamai.com/blog/security-research/2024-redtail-cryptominer-pan-os-cve-exploit