以色列網絡安全公司 GuardiCore 的安全團隊發現，網絡犯罪分子設法組建了一個龐大僵尸網絡“Prowli”， 該網絡由4萬多臺被感染的 Web 服務器、調制調解器和其它物聯網（IoT）設備組成。 Prowli 僵尸網絡的操縱者利用漏洞和暴力破解攻擊感染并控制設備。受影響的有9000多家公司，這些公司主要位于中國、俄羅斯、美國等國家。

Prowli如何感染受害者？

Prowli 惡意軟件被用于加密貨幣的挖掘，并將用戶定位到惡意站點。這是一個多樣化的操作系統，依賴于漏洞和憑證的暴力攻擊來感染和接管設備。Prowli 近幾個月感染的已知服務器和設備等如下：

?WordPress 站點（利用幾個漏洞和針對管理面板的暴力破解攻擊）

?運行 K2 擴展的 Joomla! 站點（利用漏洞CVE-2018-7482）

?幾款 DSL 調制調解器（利用已知漏洞）

?運行惠普 HP Data Protector 軟件的服務器（利用CVE-2014-2623）

?Drupal、PhpMyAdmin 安裝程序、NFS 盒子、開放 SMB 端口的服務器（暴力破解憑證）

此外，Prowli 的操縱者還了運行了 SSH 掃描器模塊，嘗試猜測暴露 SSH 端口的設備用戶名和密碼。

部署加密貨幣挖礦程序、后門和 SSH 掃描器

一旦服務器或物聯網設備遭受攻擊，Prowli 操縱者便會確定這些設備是否可用于挖礦。確定之后，操縱者通過門羅幣挖礦程序和 R2R2 蠕蟲對其進行感染。R2R2 蠕蟲會對被黑的設備執行 SSH 暴力攻擊，并幫助 Prowli 僵尸網絡進一步擴大規模。

此外，運行網站的 CMS 平臺遭遇了后門感染（WSO Web Shell）。攻擊者通過 WSO Web Shell 修改被攻擊的網站，托管惡意代碼將站點的部分訪客重定向至流量分配系統（TDS），然后由TDS將劫持的網絡流量租給其它攻擊者，并將用戶重定向至各種惡意網站，例如虛假的技術支持網站和更新網站。

GuardiCore 公司表示，攻擊者使用的 TDS 系統為 EITest（又被稱為 ROI777）。2018年3月，ROI777 遭到黑客攻擊，其部分數據被泄露到網上后，網絡安全公司于4月關閉了該系統。盡管如此，這似乎并沒有阻止 Prowli 僵尸網絡的行動步伐。

受影響區域，顏色越深越嚴重

“賺錢機器”

根據研究人員的說法，攻擊者精心設計并優化了整起行動，Prowli 惡意軟件感染了9000多家公司網絡上逾4萬臺服務器和設備，然后利用這些設備卯足勁賺錢，該軟件的受害者遍布全球。

GuardiCore 在報告中提到 Prowli 的攻擊指示器（IoC）和其它詳情，系統管理員可利用這些信息檢查其 IT 網絡是否遭遇攻擊。