近期，Splunk 威胁研究团队发现了一起大规模恶意软件攻击活动，4000 多家互联网服务提供商（ISP）深受其害，黑客借此获得了关键基础设施的远程访问权限。种种迹象表明，此次攻击或源自东欧，攻击者运用了暴力攻击手段、植入加密挖掘负载，并采用了先进的规避技术。

攻击概述

该恶意软件专门针对 ISP 系统中存在的弱凭证，通过暴力破解的方式强行渗透进入。一旦成功潜入系统，攻击者便迅速部署一系列恶意二进制文件，像 mig.rdp.exe、x64.exe 和 migrate.exe 等。这些文件一方面执行加密挖掘操作，利用受害系统的计算资源谋取利益；另一方面，负责窃取敏感信息。

这些恶意有效载荷具备多种破坏能力，它们能够禁用系统的安全功能，通过命令和控制（C2）服务器（其中包括 Telegram 机器人）将窃取的数据泄露出去，并且能够在受感染的网络中寻找并攻击其他目标。在受感染网络中横向移动时，该恶意软件主要借助 Windows 远程管理（WINRM）服务。它运用编码的 PowerShell 脚本，不仅可以禁用防病毒保护，终止其他竞争的加密矿工程序，还能在受感染的系统上建立起长期的控制权，同时修改目录权限，限制用户访问，防止自身文件被发现。

启用目录的继承权限

技术细节

此次恶意软件活动采用自解压 RAR 档案（SFX）的方式，极大地简化了部署过程。以 mig.rdp.exe 有效载荷为例，它会释放出多个文件，其中包含批处理脚本（ru.bat、st.bat）和可执行文件（migrate.exe）。这些文件会禁用 Windows Defender 的实时监控功能，并添加恶意例外，以此躲避安全软件的检测。另一个组件 MicrosoftPrt.exe 则充当剪贴板劫持程序，专门针对比特币（BTC）、以太坊（ETH）、莱特币（LTC）等加密货币的钱包地址进行窃取。

攻击者还使用 masscan.exe 这类大规模扫描工具，识别 ISP 基础设施内易受攻击的 IP 范围。一旦确定目标，便利用 SSH 或 WINRM 协议进一步获取访问权限。

SSH 连接凭证

为了提高攻击效率，攻击者利用 Python 编译的可执行文件实现自动化操作，这样既能最大限度减少操作痕迹，又能在受限环境中保持高效运作。像 Superfetch.exe（XMRig 加密矿工）、IntelConfigService.exe（用于逃避防御的 AutoIt 脚本）以及 MicrosoftPrt.exe 等文件，均已被研究人员标记。这些文件通常隐藏在诸如 C:\Windows\Tasks\ 或 C:\ProgramData\ 等非常规目录中。此外，该恶意软件还会操纵注册表项，禁用远程桌面协议（RDP）服务，注销活跃用户，以此阻碍受害方的补救工作。

此次活动凸显了针对关键基础设施提供商的恶意软件日益复杂化。

通过将加密挖掘与凭证盗窃和高级持久性机制相结合，攻击者的目标是最大限度地利用资源，同时逃避检测。

使用 Telegram 机器人作为 C2 服务器进一步使传统的网络监控工作复杂化。

Splunk发布了一套检测规则，帮助组织识别与此活动相关的可疑活动。