安全研究人员发现去年以来云计算Linux服务器成为两大黑客地盘互抢地盘,沦为挖矿恶意程序竞赛的领域。
安全厂商Intezer发现一个名为Pacha Group的黑客团体,自去年九月以来,就锁定云计算Linux服务器植入一只变种挖矿软件Linux.GreedyAntd。Pacha首先由思科旗下的Talos安全研究小组,于去年发现,也曾对Linux和云计算平台发动采矿攻击,但是GreedyAntd包含多项特殊能力与前代的挖矿程序不同,以致于迄今才被发现。
研究人员发现,这只变种多项特点与Rocke Group十分类似,后者是较早出现、以挖Monero币为目的的黑客组织。例如GreedyAntd具有文件路径黑名单,可搜索和关闭云计算杀毒产品如Alibaba Server Guard,它最近锁定Atlassian Confluence知识管理和协同软件的漏洞,以及使用用户模式(user-mode)rootkit程序的特性,也和Rocke相同。研究人员Nacho Sanmillan指出,Pacha和Rocke都是大规模扫瞄网络上有漏洞未修补的Linux服务器和云计算服务,感染多功能的恶意程序植秼。
但是Pacha并不是要模仿Rocke,而是为了侦测与颠覆这个竞争者。例如GreedyAntd包含采矿程序的黑名单,刚好可搜索并根除掉Rocke使用的程序。此外,它还具有一个IP黑名单,研究人员发现,这个名单中的IP位置是Rocke过去发动采矿攻击使用的基地域名。GreedyAntd植入受害系统后,这些系统上的Rocke采矿程序就会被移除,而且无法再连到这些域名,也就断了Rocke的网络。研究人员因此研判,这两个黑客组织目前正在进行地盘抢夺。
安全公司提供了YARA规则供用户系统防范Pacha GreedAntd恶意程序感染。
这次研究也突显挖矿攻击趋势的变化。过去黑客锁定一般桌面计算机或笔记本电脑植入挖矿软件,但现在由于云计算平台比一般PC拥有更多运算能力,包括Jenkins、Confluence及Apache Struts、JBoss等系统,近年也成为黑客发动挖矿攻击的目标。