2018年Windows服务器挖矿木马总结报告( 十 )_：2018年Windows服务器挖矿木马总结报

“8220”组织在2018年年初较为活跃，主要原因在于2018年年初披露的Web应用漏洞POC数量相比较其他时候要多得多。之后随着披露的Web应用漏洞POC数量的减少，“8220”组织也相对沉寂，不过到了2018年12月末，“8220“组织使用包括Github、bitbucket在内的代码托管平台存储载荷，开启新一波服务器入侵攻势。

图20 “8220”组织2018年攻击趋势

四、bulehero[14]

图21 bulehero家族典型的攻击流程

bulehero家族最早出现于2018年初，该家族最初并非使用bulehero.in这个域名作为载荷下载URL，而是直接使用IP地址173.208.202.234。诞生初期的bulehero家族规模并不大，直到2018年7月，该家族所构建的僵尸网络才逐渐成型。2018年12月，ThinkPHP v5被曝存在远程代码执行漏洞，bulehero是第一个使用该漏洞入侵服务器的家族，而这次入侵也使bulehero家族控制的僵尸机器数量暴涨[15]。