近日，網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了 Gafgyt 僵尸網(wǎng)絡(luò)的一個(gè)新變種，它以 SSH 密碼較弱的機(jī)器為目標(biāo)，最終利用其 GPU 計(jì)算能力在被攻擊的實(shí)例上挖掘加密貨幣。

Aqua Security 研究員 Assaf Morag 在周三的一份分析報(bào)告中說(shuō)："這表明，物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)正在瞄準(zhǔn)運(yùn)行在云原生環(huán)境中的更強(qiáng)大的服務(wù)器?！?/p>

據(jù)了解，Gafgyt（又名 BASHLITE、Lizkebab 和 Torlus）自 2014 年以來(lái)一直在野外活躍，它曾利用弱憑據(jù)或默認(rèn)憑據(jù)獲得路由器、攝像頭和數(shù)字視頻錄像機(jī)（DVR）等設(shè)備的控制權(quán)。它還能利用 Dasan、華為、Realtek、SonicWall 和 Zyxel 設(shè)備中的已知安全漏洞。

受感染的設(shè)備被集中到一個(gè)僵尸網(wǎng)絡(luò)中，能夠?qū)Ω信d趣的目標(biāo)發(fā)起分布式拒絕服務(wù)（DDoS）攻擊。有證據(jù)表明，Gafgyt 和 Necro 由一個(gè)名為 Keksec 的威脅組織運(yùn)營(yíng)，該組織也被追蹤為 Kek Security 和 FreakOut。

像 Gafgyt 這樣的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)在不斷進(jìn)化，增加新的功能，2021 年檢測(cè)到的變種使用 TOR 網(wǎng)絡(luò)來(lái)掩蓋惡意活動(dòng)，并從泄露的 Mirai 源代碼中借用了一些模塊。值得注意的是，Gafgyt 的源代碼于 2015 年初在網(wǎng)上泄露，進(jìn)一步助長(zhǎng)了其新版本和適應(yīng)版本的出現(xiàn)。

最新的攻擊鏈涉及使用弱密碼暴力破解 SSH 服務(wù)器，部署下一階段有效載荷，以便使用 “systemd-net ”進(jìn)行加密貨幣挖礦攻擊，但在這一過(guò)程中，會(huì)先終止在受感染主機(jī)上運(yùn)行的其他競(jìng)爭(zhēng)性惡意軟件。

它還會(huì)執(zhí)行一個(gè)蠕蟲(chóng)模塊，這是一個(gè)基于 Go 的 SSH 掃描器，名為 ld-musl-x86，負(fù)責(zé)掃描互聯(lián)網(wǎng)上安全性較差的服務(wù)器，并將惡意軟件傳播到其他系統(tǒng)，從而有效擴(kuò)大僵尸網(wǎng)絡(luò)的規(guī)模。這包括 SSH、Telnet 以及與游戲服務(wù)器和 AWS、Azure 和 Hadoop 等云環(huán)境相關(guān)的憑證。

Morag 指出："目前使用的加密貨幣挖礦工具是 XMRig，它是一款專(zhuān)門(mén)用于挖掘門(mén)羅幣的軟件。在這次攻擊中，威脅行為者試圖利用 opencl 和 cuda 標(biāo)志來(lái)運(yùn)行挖礦軟件，以便更充分地利用 GPU 和 Nvidia GPU 的計(jì)算能力?！?/p>

結(jié)合攻擊者主要通過(guò)挖礦而非發(fā)起DDoS攻擊來(lái)實(shí)現(xiàn)其目的，進(jìn)一步支持了研究人員的觀(guān)點(diǎn)，即這種新變種與以往的不同，它專(zhuān)注于攻擊那些具有強(qiáng)大計(jì)算能力的云原生環(huán)境。

通過(guò)查詢(xún) Shodan 收集到的數(shù)據(jù)顯示，目前有超過(guò) 3000 萬(wàn)臺(tái)可公開(kāi)訪(fǎng)問(wèn)的 SSH 服務(wù)器，因此用戶(hù)必須采取措施保護(hù)實(shí)例的安全，防止暴力破解攻擊和潛在的利用。