安全公司Intezer提供YARA規則,供用戶系統防範Pacha GreedAntd惡意程式感染。

安全研究人員發現去年以來雲端Linux伺服器成為兩大駭客地盤互搶地盤,淪為挖礦惡意程式競賽的領域。

安全廠商Intezer發現一個名為Pacha Group的駭客團體,自去年九月以來,就鎖定雲端Linux伺服器植入一隻變種挖礦軟體Linux.GreedyAntd。Pacha首先由思科旗下的Talos安全研究小組,於去年發現,也曾對Linux和雲端平臺發動採礦攻擊,但是GreedyAntd包含多項特殊能力與前代的挖礦程式不同,以致於迄今才被發現。

研究人員發現,這隻變種多項特點與Rocke Group十分類似,後者是較早出現、以挖Monero幣為目的的駭客組織。例如GreedyAntd具有檔案路徑黑名單,可搜尋和關閉雲端防毒產品如Alibaba Server Guard,它最近鎖定Atlassian Confluence知識管理和協同軟體的漏洞,以及使用使用者模式(user-mode)rootkit程式的特性,也和Rocke相同。研究人員Nacho Sanmillan指出,Pacha和Rocke都是大規模掃瞄網路上有漏洞未修補的Linux伺服器和雲端服務,感染多功能的惡意程式植秼。

但是Pacha並不是要模仿Rocke,而是為了偵測與顛覆這個競爭者。例如GreedyAntd包含採礦程式的黑名單,剛好可搜尋並根除掉Rocke使用的程式。此外,它還具有一個IP黑名單,研究人員發現,這個名單中的IP位置是Rocke 過去發動採礦攻擊使用的基地網域。GreedyAntd植入受害系統後,這些系統上的Rocke採礦程式就會被移除,而且無法再連到這些網域,也就斷了Rocke的網路。研究人員因此研判,這兩個駭客組織目前正在進行地盤搶奪。

安全公司提供了YARA規則供用戶系統防範Pacha GreedAntd惡意程式感染。

這次研究也突顯挖礦攻擊趨勢的變化。過去駭客鎖定一般桌上型電腦或筆電植入挖礦軟體,但現在由於雲端平台比一般PC擁有更多運算能力,包括Jenkins、Confluence 及Apache Struts、JBoss等系統,近年也成為駭客發動挖礦攻擊的目標。


Advertisement

更多 iThome相關內容