研究人員發現，一種新命名為路西法的惡意軟件可以在受感染的設備上挖掘Monero加密貨幣，然后利用受害者設備發動DDoS攻擊。

Palo Alto Networks的42位研究人員發現了一種新的“混合加密劫持惡意軟件”，本想將其命名為Satan DDoS，但由于Satan Ransomware已經存在，因此Palo Alto研究人員選擇將其命名為Lucifer。

[[333769]]

路西法(Lucifer)惡意軟件能夠發起DDoS攻擊，并可以使用各種系統常見的自然漏洞來攻擊易受攻擊的Windows主機，這些主機大多數漏洞被評為“高”或“嚴重”。

該活動的第一波浪潮于2020年6月10日被Palo Alto Networks阻止，但攻擊者第二天就使用Lucifer惡意軟件的升級版繼續進行攻擊，通過挖掘加密貨幣并利用受害者作為肉雞發起了強烈的DDoS攻擊，總之他們的破壞力很強。

Palo Alto Networks的研究人員觀察到，Lucifer的新變體功能非常強大，因為它通過拋棄XMRig來挖掘Monero加密貨幣來執行加密劫持，連接到C&C服務器，并通過利用多個漏洞以及啟動憑據強制執行來實現自傳播。

Lucifer是加密劫持和DDoS惡意軟件變種的新混合產物，利用舊漏洞在Windows平臺上傳播和執行惡意活動。

此外，它可以針對易受攻擊的設備丟棄/運行泄漏的NSA漏洞，包括DoublePulsar，EternalBlue和EternalRomance，以實現Intranet感染。

一旦被利用，攻擊者就可以在易受攻擊的設備上執行任意命令。在這種情況下，目標是在網絡中可用的Windows主機，因為攻擊者正在利用有效負載中的certutil程序實施惡意軟件傳播。”研究人員在博客中說道。

NSA的實際利用(截圖)：

目標安全漏洞為CVE-2014-6287、CVE-2018-1000861、CVE-2017-10271、CVE-2018-20062、CVE-2018-7600、CVE-2017-9791、CVE-2019-9081、PHPStudy后門RCE、CVE-2017-0144、CVE-2017-0145和CVE-2017-8464。

盡管解決這些問題的軟件更新程序已經發布了一段時間，但許多系統仍未打補丁，面臨攻擊風險，黑客成功利用漏洞可在目標計算機上執行代碼。

該惡意軟件包含三個資源部分，每個資源部分都包含一個用于特定目的的二進制文件：XMRig 5.5.0的x86和x64 UPX壓縮版本，以及Equation Group漏洞(EternalBlue和EternalRomance，以及DoublePulsar后門植入物)。

[[333770]]

該惡意軟件升級版與其以前的版本具有相同行為，但另有防沙箱功能，可根據預定義的列表滲透受感染主機的用戶及計算機名稱、是否存在特定設備驅動程序、DLL和虛擬設備，如果找到匹配項，則會暫停操作。它還擁有反調試器功能。

好消息是，它們無法攻擊安裝新進安全漏洞補丁程序的Windows系統，也就是說，未更新的主機容易受到加密劫持的攻擊。研究人員敦促用戶立即應用最新補丁和更新以保護其設備。