远控工具Spark被用于挖矿行动
日期:2023-05-09 10:02:10 发布人:信息化建设中心 浏览量:285
恶意文件概要
|
恶意文件名称 |
Spark |
|
发布时间 |
2023年05月09日 |
|
威胁类型 |
远控木马 |
|
简单描述 |
Spark是一款由go编写的免费、安全、开源、基于网页、跨平台的远程管理工具,该工具现被发现用于一起挖矿活动。 |
恶意文件分析
恶意文件描述
近期,安服应急响应中心在运营工作中发现某高校计算机集群在使用中出现CPU占用异常的现象,进一步排查发现在管理节点处存在挖矿病毒,深入分析发现该集群在2022年12月中旬也曾发生过一起挖矿事件。对比两次事件后,发现破坏者使用的威胁组件基本一致,唯一存在区别的是此次事件中存在一个Spark后门,供攻击者持久化访问。由此,可以确定两次挖矿事件的是同一个组织所为。
解决方案
处置建议
- 避免将重要服务在外网开放,若一定要开放,需增加口令复杂度,避免使用弱口令。
- 避免打开可疑或来历不明的邮件,尤其是其中的链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描。
- 安装信誉良好的防病毒/反间谍软件,定期进行系统全盘扫描,并删除检测到的威胁,按时升级打补丁。