Ngày 04 tháng 1 năm 2023Ravie LakshmananLinux / Tiền điện tử
Một phần mềm độc hại Linux mới được phát triển bằng cách sử dụng trình biên dịch shell script (shc) đã được quan sát triển khai một công cụ khai thác tiền điện tử trên các hệ thống bị xâm nhập.
“Có thể cho rằng sau khi xác thực thành công thông qua một cuộc tấn công từ điển vào các máy chủ Linux SSH được quản lý không đầy đủ, nhiều phần mềm độc hại khác nhau đã được cài đặt trên hệ thống đích”, Trung tâm Ứng phó Khẩn cấp An ninh AhnLab (ASEC) cho biết trong một báo cáo được công bố hôm nay.
shc cho phép các tập lệnh shell được chuyển đổi trực tiếp thành các tệp nhị phân, cung cấp các biện pháp bảo vệ chống lại các sửa đổi mã nguồn trái phép. Nó tương tự như tiện ích BAT2EXE trong Windows được sử dụng để chuyển đổi bất kỳ tệp bó nào thành tệp thực thi.
Trong chuỗi tấn công do công ty an ninh mạng Hàn Quốc trình bày chi tiết, việc xâm nhập thành công máy chủ SSH dẫn đến việc triển khai phần mềm độc hại trình tải xuống shc cùng với Bot ddos IRC dựa trên Perl.
Sau đó, trình tải xuống shc sẽ tiếp tục tìm nạp phần mềm khai thác XMRig để khai thác tiền điện tử, với bot IRC có khả năng thiết lập kết nối với máy chủ từ xa để tìm nạp các lệnh nhằm thực hiện các cuộc tấn công từ chối dịch vụ (DDoS) phân tán.
Các nhà nghiên cứu của ASEC cho biết: “Bot này không chỉ hỗ trợ các cuộc tấn công DDoS như tràn TCP, tràn UDP và tràn HTTP mà còn nhiều tính năng khác bao gồm thực thi lệnh, đảo ngược shell, quét cổng và xóa nhật ký”.
Thực tế là tất cả các tạo phẩm của trình tải xuống shc đã được tải lên VirusTotal từ Hàn Quốc cho thấy chiến dịch này chủ yếu tập trung vào các máy chủ Linux SSH được bảo mật kém trong nước.
Người dùng nên tuân theo quy trình vệ sinh mật khẩu và xoay vòng mật khẩu định kỳ để ngăn chặn các nỗ lực vũ phu và tấn công từ điển. Bạn cũng nên cập nhật hệ điều hành.
