针对服务器、路由器和物联网设备的潜行恶意软件

配音潜行行动，这场运动一直在传播恶意软件和注入恶意代码，利用各种攻击技术接管世界各地的服务器和网站，包括使用漏洞攻击、密码暴力和滥用弱配置。

由GuardiCore安全团队的研究人员发现，Prowli行动已经攻击了来自金融、教育和政府组织等不同领域9000多家企业的4万多台受害机器。

以下是受Prowli恶意软件感染的设备和服务列表：

• Drupal和WordPress CMS服务器托管热门网站
• 乔姆拉！运行K2扩展的服务器
• 运行HP Data Protector软件的备份服务器
• DSL调制解调器
• 具有开放SSH端口的服务器
• phpmyadmin安装
• NFS盒
• 具有暴露SMB端口的服务器
• 易受攻击的物联网（IoT）设备

上述所有目标都是通过已知漏洞或凭据猜测感染的。

潜行恶意软件注入加密货币矿工

由于潜行攻击背后的攻击者正在滥用受感染的设备和网站来挖掘加密货币或运行脚本将其重定向到恶意网站，研究人员认为他们更关注赚钱，而不是意识形态或间谍活动。

据GuardiCore的研究人员称，受损设备被发现感染了Monero（XMR）加密货币矿工和“r2r2”蠕虫，一个用Golang编写的恶意软件，从受感染的设备执行SSH暴力攻击，允许Prowli恶意软件接管新设备。
简单地说，“r2r2随机生成IP地址块，并反复尝试使用用户和密码字典强制SSH登录。一旦入侵，它会对受害者运行一系列命令，”研究人员解释道。

这些命令负责从远程硬编码服务器下载不同CPU架构、加密货币矿工和配置文件的多个蠕虫副本。

攻击者还欺骗用户安装恶意扩展

除了cryptocurrency miner，攻击者还使用一个名为“WSO Web Shell”的知名开源webshell来修改受损的服务器，最终允许攻击者将网站访问者重定向到分发恶意浏览器扩展的虚假网站。

GuardiCore团队在世界各地的多个网络上追踪了这场活动，发现了与不同行业相关的“潜行”活动。

研究人员说：“在3周的时间里，我们每天捕获了来自不同国家和组织的180多个IP的数十起此类攻击”。“这些攻击导致我们调查了攻击者的基础设施，并发现了一个广泛的攻击多个服务的操作”。

如何保护您的设备免受恶意软件攻击

由于攻击者混合使用已知漏洞和凭据猜测来危害设备，因此用户应确保其系统已修补且最新，并始终为其设备使用强密码。

此外，用户还应该考虑锁定系统和分割易受攻击或难以安全的系统，以便将它们与其他网络分开。

上月末，一个名为VPNFilter的大型僵尸网络被发现感染了54个国家范围广泛的制造商的50万台路由器和存储设备，其恶意软件具有进行破坏性网络操作、监视和中间人攻击的能力。