2018年7月，腾讯安全御见威胁情报中心首次监测到Agwl网络犯罪团伙入侵某互娱公司手游官网服务器；2019年1月以来，Agwl团伙日渐活跃，呈小幅度爆发趋势，针对phpStudy网站服务器批量植入大量挖矿木马，并通过对其网站使用的默认MySQL弱口令进行爆破攻击，得手后植入挖矿以及远控木马。

近期，腾讯安全御见威胁情报中心再次监测捕捉到Agwl团伙的踪迹，此次入侵行动中首次将Linux系统纳入攻击范围，入侵后会下载运行挖矿脚本、DDoS病毒及勒索病毒。目前，腾讯御点终端安全管理系统已对该恶意行为进行全面拦截并查杀。

与其他勒索病毒不同的是，Agwl团伙爆破登录成功后并不会先加密数据再勒索酬金，而是在攻击成功后直接“撕票”删库，再向受害企业用户发送勒索消息骗取赎金。企业一旦中招，不仅数据拿不回来，还可能被骗取赎金，“数”财两空。同时，勒索病毒还会发动挖矿攻击，通过C2获取攻击目标IP段，扫描VNC、Rsync、MySQL等服务器进行爆破攻击，最终通过shell下载挖矿木马挖取门罗币。

(图: Agwl团伙门罗币钱包收益量)

通过与之前的攻击活动进行对比分析，腾讯安全技术专家指出，在此次恶意攻击事件中，不法黑客使用的爆破工具加密方式与1月份发现的挖矿木马样本保持一致。攻击者入侵成功后加入基于Linux系统执行的bash脚本代码s667，并进一步下载挖矿木马，随后继续植入DDoS病毒以及勒索蠕虫病毒，对服务器进行爆破。

（图：Agwl团伙攻击流程）

对于这种针对phpStudy网站服务器的批量入侵行为，腾讯安全专家马劲松提醒广大企业网络管理员，应及时加固服务器，修补服务器安全漏洞，对于phpStudy一类的集成环境，在安装结束后应及时修改MySQL密码为强密码，避免被黑客探测入侵；推荐使用御知网络空间风险雷达和腾讯云网站管家智能防护平台产品，可直接对企业进行风险扫描和站点监测。目前，腾讯云网站管家智能防护平台已具备Web入侵防护、0Day漏洞补丁修复等多纬度防御策略，可全面保护网站系统安全。此外，推荐全网部署腾讯御界高级威胁检测系统，提前感知和有效抵御漏洞攻击，保护企业免受数据和财产损失。