自去年秋天以来,一个据信在中国以外运作的新的网络犯罪集团一直在侵入Linux服务器,并安装了一种新的恶意软件来挖掘加密货币。
由Intezer的安全研究人员发现的这个新小组-他们将其命名为Pacha Group-并不是直接针对Linux服务器,而是针对运行在顶部的应用程序。
专家表示,Pacha Group黑客使用蛮力攻击来破坏WordPress或PhpMyAdmin之类的服务,一旦拥有立足之地,便将访问权限扩展到底层服务器,并在其中部署恶意软件,Intezer将其命名为Linux.GreedyAntd Antd)。
一个报告由中国安全研究员宿Antd的第一瞄准在九月中旬2018 Intezer说恶意软件的另一个应变的恶意软件的源代码,源代码重叠今年并命名一月发现Linux.HelloBot,也由帕查组。
迹象表明,黑客会并行开发和测试恶意软件,然后坚持使用Antd进行当前操作。
根据Intezer 对恶意软件内部工作的技术深入研究,Antd是一个复杂的代码段,围绕模块化结构设计,旨在与多个命令和控制服务器一起使用。
Intezer团队说:“我们可以假设拥有如此庞大的基础架构(包含大量组件)的主要原因是使其对服务器关闭具有更大的适应力,并提供模块化的因素。”
“此外,使如此数量的组件相互连接还意味着要付出更大的努力才能清理给定的受损系统。”
由于Antd的行为不一定像大多数Linux恶意软件一样,清理操作也变得很困难。它不使用伪装的cronjob来获得对受感染系统的持久性,而是添加了模仿合法mandb服务的Systemd服务。除非调查人员知道他们在寻找什么,否则很难发现Antd的后门,并且服务器很可能会一遍又一遍地被重新感染。
此外,Pacha Group似乎还知道他们在创建加密采矿组件时正在做什么。
Intezer表示,此Antd模块是使用Stratum挖掘协议的XMRig变体,但不是存储本地配置文件,而是使用代理服务来隐藏其设置和钱包地址。与其他多个加密挖矿恶意软件组相比,这使得跟踪Pacha Group的运营和利润变得更加困难。
在此之上,该加密挖掘组件还带有的其他加密矿工的处理的“杀名单”,但是这是不是第一次这样的功能已被发现[ 1,2 ]。
目前,Linux服务器所有者应该意识到这种威胁已经存在。黑客可能不会直接攻击他们的系统,但是管理员需要确保他们在服务器上运行的应用程序保持最新状态,并且不要为管理帐户使用默认密码或易于猜测的密码。