网络安全研究人员发现了 Gafgyt 僵尸网络的一种新变体,该僵尸网络针对具有弱 SSH 密码的机器,最终使用其 GPU 计算能力在受感染的实例上挖掘加密货币。这表明“物联网僵尸网络的目标是在云原生环境中运行的更强大的服务器,”Aqua Security研究员Assaf Morag在周三的分析中表示。自 2014 年以来,已知 Gafgyt(又名 BASHLITE、Lizkebab 和 Torlus)在野外活跃,有利用弱或默认凭据来控制路由器、摄像头和数字视频录像机 (DVR) 等设备的历史。它还能够利用 Dasan、华为、Realtek、SonicWall 和 Zyxel 设备中的已知安全漏洞。受感染的设备被围困在一个僵尸网络中,该僵尸网络能够针对感兴趣的目标发起分布式拒绝服务 (DDoS) 攻击。有证据表明,Gafgyt 和 Necro 由一个名为 Keksec 的威胁组织运营,该组织也被追踪为 Kek Security 和 FreakOut。像 Gafgyt 这样的物联网僵尸网络不断发展以添加新功能,2021 年检测到的变体使用 TOR 网络来掩盖恶意活动,并从泄露的 Mirai 源代码中借用一些模块。值得注意的是,Gafgyt 的源代码在 2015 年初就在网上泄露,进一步推动了新版本和改编版本的出现。最新的攻击链涉及使用弱密码暴力破解 SSH 服务器,以部署下一阶段的有效载荷,以促进使用“systemd-net”的加密货币挖掘攻击,但在终止已经在受感染主机上运行的竞争恶意软件之前。它还执行一个蠕虫模块,一个名为 ld-musl-x86 的基于 Go 的 SSH 扫描器,该模块负责扫描互联网上以查找安全性较差的服务器,并将恶意软件传播到其他系统,从而有效地扩大了僵尸网络的规模。这包括 SSH、Telnet 以及与游戏服务器和云环境(如 AWS、Azure 和 Hadoop)相关的凭据。“正在使用的加密矿工是XMRig,一个门罗币加密货币矿工,”莫拉格说。“然而,在这种情况下,威胁行为者正在寻求使用 –opencl 和 –cuda 标志运行加密矿工,这些标志利用了 GPU 和 Nvidia GPU 的计算能力。”“这一点,再加上威胁行为者的主要影响是加密挖矿而不是DDoS攻击这一事实,支持了我们的说法,即这种变体与以前的变体不同。它旨在针对具有强大 CPU 和 GPU 功能的云原生环境。通过查询 Shodan 收集的数据显示,有超过 3000 万台可公开访问的 SSH 服务器,因此用户必须采取措施保护实例免受暴力攻击和可能的利用。
