Các máy chủ Linux SSH được bảo mật kém đang là mục tiêu của các tác nhân xấu để cài đặt máy quét cổng và các công cụ tấn công từ điển với mục tiêu nhắm mục tiêu vào các máy chủ dễ bị tổn thương khác và đồng chọn chúng vào mạng để thực hiện khai thác tiền điện tử và các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
"Các tác nhân đe dọa cũng có thể chọn chỉ cài đặt máy quét và bán thông tin đăng nhập tài khoản và IP bị vi phạm trên dark web", Trung tâm Ứng phó Khẩn cấp An ninh AhnLab (ASEC) cho biết trong một báo cáo hôm thứ Ba.
Trong các cuộc tấn công này, kẻ thù cố gắng đoán thông tin đăng nhập SSH của máy chủ bằng cách chạy qua danh sách các kết hợp tên người dùng và mật khẩu thường được sử dụng, một kỹ thuật được gọi là tấn công từ điển.
Nếu nỗ lực brute-force thành công, tiếp theo là tác nhân đe dọa triển khai phần mềm độc hại khác, bao gồm cả máy quét, để quét các hệ thống nhạy cảm khác trên internet.
Cụ thể, máy quét được thiết kế để tìm kiếm các hệ thống mà cổng 22 - được liên kết với dịch vụ SSH - đang hoạt động và sau đó lặp lại quá trình dàn dựng một cuộc tấn công từ điển để cài đặt phần mềm độc hại, lan truyền hiệu quả sự lây nhiễm.
Một khía cạnh đáng chú ý khác của cuộc tấn công là việc thực thi các lệnh như "grep -c ^processor / proc / cpuinfo" để xác định số lượng lõi CPU.
ASEC cho biết: "Những công cụ này được cho là do PRG tạo ra và mỗi tác nhân đe dọa sẽ sửa đổi chúng một chút trước khi sử dụng chúng trong các cuộc tấn công", ASEC cho biết và cho biết thêm có bằng chứng về phần mềm độc hại như vậy được sử dụng vào đầu năm 2021.
Để giảm thiểu rủi ro liên quan đến các cuộc tấn công này, người dùng nên dựa vào mật khẩu khó đoán, định kỳ xoay vòng chúng và cập nhật hệ thống của họ.
Những phát hiện này được đưa ra khi Kaspersky tiết lộ rằng một mối đe dọa đa nền tảng mới được gọi là NKAbuse đang tận dụng một giao thức kết nối mạng ngang hàng, phi tập trung được gọi là NKN (viết tắt của New Kind of Network) như một kênh truyền thông cho các cuộc tấn công DDoS.