自去年秋天以來，一個據(jù)信在中國以外運(yùn)作的新的網(wǎng)絡(luò)犯罪集團(tuán)一直在侵入Linux服務(wù)器，并安裝了一種新的惡意軟件來挖掘加密貨幣。

由Intezer的安全研究人員發(fā)現(xiàn)的這個新小組-他們將其命名為Pacha Group-并不是直接針對Linux服務(wù)器，而是針對運(yùn)行在頂部的應(yīng)用程序。

專家表示，Pacha Group黑客使用蠻力攻擊來破壞WordPress或PhpMyAdmin之類的服務(wù)，一旦擁有立足之地，便將訪問權(quán)限擴(kuò)展到底層服務(wù)器，并在其中部署惡意軟件，Intezer將其命名為Linux.GreedyAntd Antd)。

一個報(bào)告由中國安全研究員宿Antd的第一瞄準(zhǔn)在九月中旬2018 Intezer說惡意軟件的另一個應(yīng)變的惡意軟件的源代碼，源代碼重疊今年并命名一月發(fā)現(xiàn)Linux.HelloBot，也由帕查組。

跡象表明，黑客會并行開發(fā)和測試惡意軟件，然后堅(jiān)持使用Antd進(jìn)行當(dāng)前操作。

根據(jù)Intezer 對惡意軟件內(nèi)部工作的技術(shù)深入研究，Antd是一個復(fù)雜的代碼段，圍繞模塊化結(jié)構(gòu)設(shè)計(jì)，旨在與多個命令和控制服務(wù)器一起使用。

Intezer團(tuán)隊(duì)說：“我們可以假設(shè)擁有如此龐大的基礎(chǔ)架構(gòu)(包含大量組件)的主要原因是使其對服務(wù)器關(guān)閉具有更大的適應(yīng)力，并提供模塊化的因素。”

“此外，使如此數(shù)量的組件相互連接還意味著要付出更大的努力才能清理給定的受損系統(tǒng)。”

由于Antd的行為不一定像大多數(shù)Linux惡意軟件一樣，清理操作也變得很困難。它不使用偽裝的cronjob來獲得對受感染系統(tǒng)的持久性，而是添加了模仿合法mandb服務(wù)的Systemd服務(wù)。除非調(diào)查人員知道他們在尋找什么，否則很難發(fā)現(xiàn)Antd的后門，并且服務(wù)器很可能會一遍又一遍地被重新感染。

此外，Pacha Group似乎還知道他們在創(chuàng)建加密采礦組件時正在做什么。

Intezer表示，此Antd模塊是使用Stratum挖掘協(xié)議的XMRig變體，但不是存儲本地配置文件，而是使用代理服務(wù)來隱藏其設(shè)置和錢包地址。與其他多個加密挖礦惡意軟件組相比，這使得跟蹤Pacha Group的運(yùn)營和利潤變得更加困難。

在此之上，該加密挖掘組件還帶有的其他加密礦工的處理的“殺名單”，但是這是不是第一次這樣的功能已被發(fā)現(xiàn)[ 1，2 ]。

目前，Linux服務(wù)器所有者應(yīng)該意識到這種威脅已經(jīng)存在。黑客可能不會直接攻擊他們的系統(tǒng)，但是管理員需要確保他們在服務(wù)器上運(yùn)行的應(yīng)用程序保持最新狀態(tài)，并且不要為管理帳戶使用默認(rèn)密碼或易于猜測的密碼。