騰訊安全威脅情報中心檢測到Sysrv-hello殭屍網絡對雲上Nexus Repository Manager 3存在默認帳號密碼的服務器進行攻擊。得手後再下載門羅幣礦機程序挖礦,同時下載mysql、Tomcat弱口令爆破工具,Weblogic遠程代碼執行漏洞(CVE-2020-14882)攻擊工具進行橫向擴散。其攻擊目標同時覆蓋Linux和Windows操作系統。 Sysrv-hello殭屍網絡挖礦前,惡意腳本還會嘗試結束佔用系統資源較多的進程,以獨占系統資源,這一行為可能造成企業正常業務中斷。 CVE-2020-14882漏洞由Oracle 2020年10月21日發佈公告修復,屬於較新的漏洞攻擊工具,因部分企業漏洞修復進度較慢,使得該團伙的攻擊成功率較高。該殭屍網絡於2020年12月首次被國內安全研究人員發現,由於具備木馬、後門、蠕蟲等多種惡意軟件的綜合攻擊能力,使用的漏洞攻擊工具也較新,僅僅用了一個多月時間,該殭屍網絡已具有一定規模,對政企機構危害較大。