兩大挖礦駭客集團在雲端Linux環境爭地盤

安全研究人員發現去年以來雲端Linux伺服器成為兩大駭客地盤互搶地盤，淪為挖礦惡意程式競賽的領域。

安全廠商Intezer發現一個名為Pacha Group的駭客團體，自去年九月以來，就鎖定雲端Linux伺服器植入一隻變種挖礦軟體Linux.GreedyAntd。Pacha首先由思科旗下的Talos安全研究小組，於去年發現，也曾對Linux和雲端平臺發動採礦攻擊，但是GreedyAntd包含多項特殊能力與前代的挖礦程式不同，以致於迄今才被發現。

研究人員發現，這隻變種多項特點與Rocke Group十分類似，後者是較早出現、以挖Monero幣為目的的駭客組織。例如GreedyAntd具有檔案路徑黑名單，可搜尋和關閉雲端防毒產品如Alibaba Server Guard，它最近鎖定Atlassian Confluence知識管理和協同軟體的漏洞，以及使用使用者模式（user-mode）rootkit程式的特性，也和Rocke相同。研究人員Nacho Sanmillan指出，Pacha和Rocke都是大規模掃瞄網路上有漏洞未修補的Linux伺服器和雲端服務，感染多功能的惡意程式植秼。

但是Pacha並不是要模仿Rocke，而是為了偵測與顛覆這個競爭者。例如GreedyAntd包含採礦程式的黑名單，剛好可搜尋並根除掉Rocke使用的程式。此外，它還具有一個IP黑名單，研究人員發現，這個名單中的IP位置是Rocke 過去發動採礦攻擊使用的基地網域。GreedyAntd植入受害系統後，這些系統上的Rocke採礦程式就會被移除，而且無法再連到這些網域，也就斷了Rocke的網路。研究人員因此研判，這兩個駭客組織目前正在進行地盤搶奪。

安全公司提供了YARA規則供用戶系統防範Pacha GreedAntd惡意程式感染。

這次研究也突顯挖礦攻擊趨勢的變化。過去駭客鎖定一般桌上型電腦或筆電植入挖礦軟體，但現在由於雲端平台比一般PC擁有更多運算能力，包括Jenkins、Confluence 及Apache Struts、JBoss等系統，近年也成為駭客發動挖礦攻擊的目標。