自去年秋天以來(lái)，一個(gè)據(jù)信在中國(guó)以外運(yùn)作的新的網(wǎng)絡(luò)犯罪集團(tuán)一直在侵入Linux服務(wù)器，并安裝了一種新的惡意軟件來(lái)挖掘加密貨幣。

由Intezer的安全研究人員發(fā)現(xiàn)的這個(gè)新小組-他們將其命名為Pacha Group-并不是直接針對(duì)Linux服務(wù)器，而是針對(duì)運(yùn)行在頂部的應(yīng)用程序。

專(zhuān)家表示，Pacha Group黑客使用蠻力攻擊來(lái)破壞WordPress或PhpMyAdmin之類(lèi)的服務(wù)，一旦擁有立足之地，便將訪(fǎng)問(wèn)權(quán)限擴(kuò)展到底層服務(wù)器，并在其中部署惡意軟件，Intezer將其命名為L(zhǎng)inux.GreedyAntd Antd)。

一個(gè)報(bào)告由中國(guó)安全研究員宿Antd的第一瞄準(zhǔn)在九月中旬2018 Intezer說(shuō)惡意軟件的另一個(gè)應(yīng)變的惡意軟件的源代碼，源代碼重疊今年并命名一月發(fā)現(xiàn)Linux.HelloBot，也由帕查組。

跡象表明，黑客會(huì)并行開(kāi)發(fā)和測(cè)試惡意軟件，然后堅(jiān)持使用Antd進(jìn)行當(dāng)前操作。

根據(jù)Intezer 對(duì)惡意軟件內(nèi)部工作的技術(shù)深入研究，Antd是一個(gè)復(fù)雜的代碼段，圍繞模塊化結(jié)構(gòu)設(shè)計(jì)，旨在與多個(gè)命令和控制服務(wù)器一起使用。

Intezer團(tuán)隊(duì)說(shuō)：“我們可以假設(shè)擁有如此龐大的基礎(chǔ)架構(gòu)(包含大量組件)的主要原因是使其對(duì)服務(wù)器關(guān)閉具有更大的適應(yīng)力，并提供模塊化的因素。”

“此外，使如此數(shù)量的組件相互連接還意味著要付出更大的努力才能清理給定的受損系統(tǒng)。”

由于Antd的行為不一定像大多數(shù)Linux惡意軟件一樣，清理操作也變得很困難。它不使用偽裝的cronjob來(lái)獲得對(duì)受感染系統(tǒng)的持久性，而是添加了模仿合法mandb服務(wù)的Systemd服務(wù)。除非調(diào)查人員知道他們?cè)趯ふ沂裁?，否則很難發(fā)現(xiàn)Antd的后門(mén)，并且服務(wù)器很可能會(huì)一遍又一遍地被重新感染。

此外，Pacha Group似乎還知道他們?cè)趧?chuàng)建加密采礦組件時(shí)正在做什么。

Intezer表示，此Antd模塊是使用Stratum挖掘協(xié)議的XMRig變體，但不是存儲(chǔ)本地配置文件，而是使用代理服務(wù)來(lái)隱藏其設(shè)置和錢(qián)包地址。與其他多個(gè)加密挖礦惡意軟件組相比，這使得跟蹤Pacha Group的運(yùn)營(yíng)和利潤(rùn)變得更加困難。

在此之上，該加密挖掘組件還帶有的其他加密礦工的處理的“殺名單”，但是這是不是第一次這樣的功能已被發(fā)現(xiàn)[ 1，2 ]。

目前，Linux服務(wù)器所有者應(yīng)該意識(shí)到這種威脅已經(jīng)存在。黑客可能不會(huì)直接攻擊他們的系統(tǒng)，但是管理員需要確保他們?cè)诜?wù)器上運(yùn)行的應(yīng)用程序保持最新?tīng)顟B(tài)，并且不要為管理帳戶(hù)使用默認(rèn)密碼或易于猜測(cè)的密碼。