Các hệ thống Linux đối mặt với Internet và các thiết bị Internet of Things (IoT) đang được nhắm mục tiêu như một phần của chiến dịch mới được thiết kế để khai thác tiền điện tử bất hợp pháp.
"Các tác nhân đe dọa đằng sau cuộc tấn công sử dụng một backdoor triển khai một loạt các công cụ và thành phần như rootkit và bot IRC để đánh cắp tài nguyên thiết bị cho các hoạt động khai thác", nhà nghiên cứu tình báo mối đe dọa của Microsoft, Rotem Sde-Or cho biết.
"Backdoor cũng cài đặt một phiên bản vá lỗi của OpenSSH trên các thiết bị bị ảnh hưởng, cho phép các tác nhân đe dọa chiếm quyền điều khiển thông tin SSH, di chuyển ngang trong mạng và che giấu các kết nối SSH độc hại."
Để thực hiện kế hoạch, các máy chủ Linux được cấu hình sai bị buộc phải truy cập ban đầu, sau đó các tác nhân đe dọa di chuyển để vô hiệu hóa lịch sử shell và tìm nạp phiên bản trojan của OpenSSH từ một máy chủ từ xa.
Gói OpenSSH giả mạo được cấu hình để cài đặt và khởi chạy backdoor, một tập lệnh shell cho phép kẻ tấn công phân phối các tải trọng bổ sung và tiến hành các hoạt động sau khai thác khác.
Điều này bao gồm trích xuất thông tin về thiết bị, cài đặt rootkit mã nguồn mở có tên Diamorphine và Reptile từ GitHub và thực hiện các bước để che khuất hoạt động của nó bằng cách xóa nhật ký có thể cảnh báo sự hiện diện của nó.
"Để đảm bảo truy cập SSH liên tục vào thiết bị, backdoor nối thêm hai khóa công khai vào các tệp cấu hình authorized_keys của tất cả người dùng trên hệ thống", nhà sản xuất Windows cho biết.
Cấy ghép cũng tìm cách độc quyền tài nguyên của hệ thống bị nhiễm bằng cách loại bỏ các quy trình khai thác tiền điện tử cạnh tranh có thể đã chạy trên nó trước khi ra mắt công cụ khai thác của nó.
Hơn nữa, nó chạy một phiên bản sửa đổi của ZiggyStarTux, một máy khách từ chối dịch vụ phân tán (DDoS) dựa trên IRC có khả năng thực hiện các lệnh bash được phát hành từ máy chủ chỉ huy và kiểm soát (C2). Nó dựa trên một phần mềm độc hại botnet khác có tên Kaiten (hay còn gọi là Tsunami).
Các cuộc tấn công, gã khổng lồ công nghệ lưu ý, tận dụng tên miền phụ của một tổ chức tài chính Đông Nam Á giấu tên cho truyền thông C2 trong nỗ lực ngụy trang lưu lượng độc hại.
Điều đáng chú ý là phương thức hoạt động được Microsoft nêu chi tiết trùng lặp với một báo cáo gần đây từ Trung tâm ứng phó khẩn cấp bảo mật AhnLab (ASEC), trong đó nêu chi tiết các cuộc tấn công nhắm vào các máy chủ Linux bị lộ với phần mềm độc hại khai thác tiền điện tử và biến thể botnet sóng thần có tên là Ziggy.
Hoạt động này đã được bắt nguồn từ một diễn viên tên là asterzeu, người đã cung cấp bộ công cụ để bán trên thị trường phần mềm độc hại dưới dạng dịch vụ. "Sự phức tạp và phạm vi của cuộc tấn công này là dấu hiệu cho thấy những nỗ lực của những kẻ tấn công để tránh bị phát hiện", Sde-Or nói.
Sự phát triển này xảy ra khi nhiều lỗ hổng bảo mật đã biết trong bộ định tuyến, máy ghi video kỹ thuật số và phần mềm mạng khác đang được các tác nhân đe dọa tích cực khai thác để triển khai phần mềm độc hại botnet Mirai, theo Akamai và Palo Alto Networks Unit 42.
"Mạng botnet Mirai, được phát hiện vào năm 2016, vẫn còn hoạt động cho đến ngày nay", các nhà nghiên cứu của Uni 42 cho biết. "Một phần quan trọng lý do cho sự phổ biến của nó trong số các tác nhân đe dọa nằm ở các lỗ hổng bảo mật của các thiết bị IoT."
"Các lỗ hổng thực thi mã từ xa nhắm vào các thiết bị IoT thể hiện sự kết hợp giữa độ phức tạp thấp và tác động cao, khiến chúng trở thành mục tiêu không thể cưỡng lại đối với các tác nhân đe dọa."