在全球范围内发动攻击的非法网络团伙

在巴西最近的一起事件响应案例中，我们处理了一个相对简单但非常有效的、针对Linux环境的威胁。“不法之徒”（也被称为“Dota”）是一个基于Perl语言的加密货币挖矿僵尸网络，它通常利用薄弱或默认的SSH（安全外壳协议）凭据来开展其活动。先前的研究（[1]，[2]）描述了从蜜罐中获取的“不法之徒”样本。在本文中，我们将提供卡巴斯基处理的一起真实事件的详细信息，以及公开的遥测数据，这些数据涉及该威胁行为者最常针对的国家和地区。最后，我们将提供威胁战术、技术和程序（TTPs）以及最佳实践，安全从业人员可以采用这些内容来保护其基础设施免受此类威胁。

我们从一个已遭入侵的Linux系统中收集相关证据，以此开始分析工作。我们发现了一个针对名为“suporte”的用户的异常授权SSH密钥（在一个使用葡萄牙语的环境中，“suporte”通常是用于操作系统管理任务的账户）。这类账户常常被配置为用户名与密码相同，这是一种不良操作习惯，使得攻击者很容易利用这些账户。该授权密钥属于一个名为“mdrfckr”的远程Linux机器用户，而“mdrfckr”这个字符串曾在“Dota”的攻击活动中出现过，这引起了我们的怀疑。

可疑的已授权密钥

在首次通过SSH实现入侵后，威胁行为者会使用诸如wget或curl之类的工具下载第一阶段的脚本“tddwrt7s.sh”。这个脚本负责从攻击者的服务器下载“dota.tar.gz”文件。以下是攻击者获取并解压该文件所执行的命令序列，这在他们的攻击行为中相当典型。值得注意的是，攻击者同时使用了上述两种工具来尝试下载该文件，因为目标系统可能并不具备其中某一种工具。

攻击者用于下载并解压“dota.tar.gz”的命令链

解压完成后，在用户的主目录中创建了一个名为“.configrc5”的隐藏目录，其结构如下：

“.configrc5”目录结构

有趣的是，最初的执行步骤之一是使用脚本“a/init0”检查目标机器上是否存在其他已知的挖矿程序。如果发现有任何挖矿程序，该脚本会尝试终止并阻止它们运行。这样做的一个原因是为了避免过度占用目标机器的内存和CPU资源。

终止并阻止已知挖矿程序的例程

该脚本还会监控正在运行的进程，通过执行命令“ps axf -o "pid %cpu"”来识别那些占用CPU达40%及以上的进程。对于每个这样的进程，它会使用“grep”命令在其命令行（/proc/$procid/cmdline）中检查是否存在“kswapd0”、“tsm”、“rsync”、“tor”、“httpd”、“blitz”或“mass”等关键字。如果未发现这些关键字（即“grep”命令返回值不为零），则会使用“kill -9”命令强制终止该进程；否则，脚本会打印“don't kill”，有效地将“不法之徒”已知或预期的高CPU占用进程列入白名单，以避免意外终止这些进程。

该威胁所执行的进程检查

在完成进程检查和终止操作后，会执行“b/run”文件，该文件负责在受感染的机器上维持持久化，并从其代码中执行下一阶段的恶意软件。为了实现持久化，攻击者使用了以下命令来清除现有的 SSH 配置，创建一个全新的 .ssh 文件夹，添加一个用于 SSH 访问的新公钥，并锁定权限。

下一阶段的恶意软件是“b/run”脚本中一段经过Base64编码的字符串。一旦解码，就会发现还有另一层混淆：这次是一个经过混淆处理的Perl脚本。有趣的是，攻击者在其中留下了由混淆器（perlobfuscator.com）生成的注释。

经过混淆处理的Perl脚本

我们能够利用与攻击者所用相同网站（https://perlobfuscator.com/decode-stunnix-5.17.1.pl ）上的一个开源脚本轻松对代码进行反混淆处理。经过反混淆后，我们得到了包含一些葡萄牙语单词的原始源代码。但目前该链接对应的网页提示“系统内部异常，请稍后重试”，若后续重试该网页可正常访问，或许能获取到更准确的相关信息 。 我们能够利用攻击者所使用的同一网站（https://perlobfuscator.com/decode - stunnix - 5.17.1.pl）上的一个开源脚本轻松对代码进行反混淆处理，这让我们得到了包含几句葡萄牙语的原始源代码。

反混淆后的Perl脚本

这个Perl脚本是一个基于互联网中继聊天（IRC）的僵尸网络客户端，在被入侵的系统中充当后门。执行时，它会伪装成rsync进程，在后台创建自身副本，并忽略终止信号。默认情况下，它会使用随机生成的昵称通过443端口连接到一个硬编码的IRC服务器，加入预定义的频道，等待指定管理员发送命令。该僵尸程序支持一系列恶意功能，包括命令执行、分布式拒绝服务（DDoS）攻击、端口扫描以及通过HTTP进行文件下载和上传。这使得攻击者拥有广泛的能力来指挥和控制这个僵尸网络。

隐藏目录中的另一个文件“a/kswapd0”是一个使用 UPX 进行打包的 ELF 文件，如下图所示。我们能够轻松地对该二进制文件进行解包以开展分析工作。

“kswapd0”的识别与解包

通过在威胁情报平台上查询该文件的哈希值，并对样本进行静态分析，我们发现这个二进制文件是加密货币挖矿程序XMRig（6.19.0）的恶意修改版本。

XMRig版本

我们还在该二进制文件中发现了一个配置文件，其中包含攻击者的挖矿信息。在我们所处理的情况中，该配置设定为仅使用CPU来挖掘门罗币（Monero），同时禁用了OpenCL和CUDA（用于GPU挖矿）。挖矿程序在后台运行，被配置为高CPU使用率。它还连接到多个矿池，其中一个可通过Tor网络访问，这也解释了为何在.configrc5/a目录中存在Tor相关文件。下图展示了该配置文件的部分内容。

XMRig 自定义配置

以下图表展示了近期受害者的分布情况。我们可以看到，该团伙在2024年12月至2025年2月期间处于蛰伏状态，然后在2025年3月观察到受害者数量激增

“不法之徒”团伙受害者数量（按月份统计，2024年9月至2025年3月）

除了对sshd_config进行配置之外，将你的配置与诸如Fail2Ban或firewalld之类的工具结合使用，可增加另一层针对暴力破解的有效防护。

“不法之徒”团伙专注于利用弱密码或默认的SSH凭证，不断改进并扩展其针对Linux系统的工具套件。该团伙采用了一系列的躲避检测策略，例如隐藏文件和文件夹，或者使用经过混淆处理的程序，并且利用已获取的SSH密钥尽可能长时间地保持对目标系统的访问权限。基于互联网中继聊天（IRC）的僵尸网络客户端为一系列有害操作提供了便利，如命令执行、流量攻击（泛洪攻击）和端口扫描等，而部署自定义的XMRig挖矿程序则会将处理资源转移用于加密货币挖矿。系统管理员通过强化SSH配置（例如关闭密码身份验证）、留意可疑进程，并将SSH访问权限限制给可信赖的用户和网络，能够极大地降低这种安全风险。