新的Gafgyt僵尸网络变种针对弱SSH密码进行GPU加密货币挖矿

阅读量7670

发布时间 : 2024-08-16 14:40:01

x
译文声明

本文是翻译文章,文章原作者 Ravie Lakshmanan,文章来源:The Hacker News

原文地址:https://thehackernews.com/2024/08/new-gafgyt-botnet-variant-targets-weak.html

译文仅供参考,具体内容表达以及含义原文为准。

网络安全研究人员发现了 Gafgyt 僵尸网络的一种新变体,该僵尸网络针对具有弱 SSH 密码的机器,最终使用其 GPU 计算能力在受感染的实例上挖掘加密货币。

这表明“物联网僵尸网络的目标是在云原生环境中运行的更强大的服务器,”Aqua Security研究员Assaf Morag在周三的分析中表示。

自 2014 年以来,已知 Gafgyt(又名 BASHLITE、Lizkebab 和 Torlus)在野外活跃,有利用弱或默认凭据来控制路由器、摄像头和数字视频录像机 (DVR) 等设备的历史。它还能够利用 Dasan、华为、Realtek、SonicWall 和 Zyxel 设备中的已知安全漏洞。

受感染的设备被围困在一个僵尸网络中,该僵尸网络能够针对感兴趣的目标发起分布式拒绝服务 (DDoS) 攻击。有证据表明,Gafgyt 和 Necro 由一个名为 Keksec 的威胁组织运营,该组织也被追踪为 Kek Security 和 FreakOut。

像 Gafgyt 这样的物联网僵尸网络不断发展以添加新功能,2021 年检测到的变体使用 TOR 网络来掩盖恶意活动,并从泄露的 Mirai 源代码中借用一些模块。值得注意的是,Gafgyt 的源代码在 2015 年初就在网上泄露,进一步推动了新版本和改编版本的出现。

Gafgyt Botnet Variant

最新的攻击链涉及使用弱密码暴力破解 SSH 服务器,以部署下一阶段的有效载荷,以促进使用“systemd-net”的加密货币挖掘攻击,但在终止已经在受感染主机上运行的竞争恶意软件之前。

它还执行一个蠕虫模块,一个名为 ld-musl-x86 的基于 Go 的 SSH 扫描器,该模块负责扫描互联网上以查找安全性较差的服务器,并将恶意软件传播到其他系统,从而有效地扩大了僵尸网络的规模。这包括 SSH、Telnet 以及与游戏服务器和云环境(如 AWS、Azure 和 Hadoop)相关的凭据。

“正在使用的加密矿工是XMRig,一个门罗币加密货币矿工,”莫拉格说。“然而,在这种情况下,威胁行为者正在寻求使用 –opencl 和 –cuda 标志运行加密矿工,这些标志利用了 GPU 和 Nvidia GPU 的计算能力。”

“这一点,再加上威胁行为者的主要影响是加密挖矿而不是DDoS攻击这一事实,支持了我们的说法,即这种变体与以前的变体不同。它旨在针对具有强大 CPU 和 GPU 功能的云原生环境。

通过查询 Shodan 收集的数据显示,有超过 3000 万台可公开访问的 SSH 服务器,因此用户必须采取措施保护实例免受暴力攻击和可能的利用。

本文翻译自The Hacker News 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66