面向互联网的 Linux 系统和物联网 (IoT) 设备正成为旨在非法开采加密货币的新活动的一部分。
微软威胁情报研究员 Rotem Sde-Or表示:“攻击背后的威胁行为者使用后门,部署了各种工具和组件,例如 Rootkit 和 IRC 机器人,以窃取用于挖矿操作的设备资源。”
“后门还在受影响的设备上安装了 OpenSSH 的修补版本,允许威胁行为者劫持 SSH 凭证、在网络内横向移动并隐藏恶意 SSH 连接。”
为了实施该计划,配置错误的 Linux 主机会被暴力破解以获得初始访问权限,随后威胁参与者会禁用 shell 历史记录并从远程服务器获取木马版本的 OpenSSH。
流氓 OpenSSH 软件包被配置为安装和启动后门,这是一个 shell 脚本,允许攻击者分发额外的有效负载并进行其他利用后活动。
这包括泄露有关设备的信息、安装来自 GitHub 的名为Diamorphine和Reptile的开源 Rootkit ,以及采取措施通过清除可能提醒其存在的日志来掩盖其活动。
Windows 制造商表示:“为了确保对设备的持续 SSH 访问,后门将两个公钥附加到系统上所有用户的authorized_keys 配置文件中。”
该植入程序还试图通过消除在启动其矿工之前可能已经在其上运行的竞争性加密挖掘进程来垄断受感染系统的资源。
建了一个属于网络安全从业人士交流群,加微信进群
公司名称+姓名
此外,它还运行ZiggyStarTux的修改版本,ZiggyStarTux 是一个基于 IRC 的分布式拒绝服务 (DDoS) 客户端,能够执行从命令和控制 (C2) 服务器发出的 bash 命令。它基于另一种名为 Kaiten(又名 Tsunami)的僵尸网络恶意软件。
这家科技巨头指出,这些攻击利用一家未具名的东南亚金融机构的子域进行 C2 通信,试图掩盖恶意流量。
值得指出的是,微软详细介绍的作案手法与 AhnLab 安全紧急响应中心 (ASEC) 最近的一份报告重叠,该报告详细介绍了利用加密挖掘恶意软件和名为 Ziggy 的海啸僵尸网络变体针对暴露的 Linux 服务器进行的攻击。
该行动可追溯到一位名叫 asterzeu 的演员,他在恶意软件即服务市场上提供了该工具包进行销售。“这次攻击的复杂性和范围表明了攻击者为逃避检测所做的努力,”斯德-奥尔说。
据Akamai和Palo Alto Networks Unit 42称,这一进展正值路由器、数字录像机和其他网络软件中的多个已知安全漏洞被威胁行为者积极利用来部署 Mirai僵尸网络恶意软件。
Uni 42 研究人员表示:“2016 年发现的 Mirai 僵尸网络至今仍然活跃。” “它在威胁参与者中受欢迎的一个重要原因在于物联网设备的安全缺陷。”
“这些针对物联网设备的远程代码执行漏洞表现出低复杂性和高影响力的结合,使它们成为威胁行为者不可抗拒的目标。”
原文始发于微信公众号(河南等级保护测评):新的加密货币挖矿活动针对 Linux 系统和物联网设备
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论