Gafgyt僵尸网络针对云原生环境,SSH弱密码成GPU挖矿新目标

近日,网络安全研究人员发现了 Gafgyt 僵尸网络的一个新变种,它以 SSH 密码较弱的机器为目标,最终利用其 GPU 计算能力在被攻击的实例上挖掘加密货币。

Aqua Security 研究员 Assaf Morag 在周三的一份分析报告中说:"这表明,物联网僵尸网络正在瞄准运行在云原生环境中的更强大的服务器。"

据了解,Gafgyt(又名 BASHLITE、Lizkebab 和 Torlus)自 2014 年以来一直在野外活跃,它曾利用弱凭据或默认凭据获得路由器、摄像头和数字视频录像机(DVR)等设备的控制权。它还能利用 Dasan、华为、Realtek、SonicWall 和 Zyxel 设备中的已知安全漏洞。

受感染的设备被集中到一个僵尸网络中,能够对感兴趣的目标发起分布式拒绝服务(DDoS)攻击。有证据表明,Gafgyt 和 Necro 由一个名为 Keksec 的威胁组织运营,该组织也被追踪为 Kek Security 和 FreakOut。

像 Gafgyt 这样的物联网僵尸网络在不断进化,增加新的功能,2021 年检测到的变种使用 TOR 网络来掩盖恶意活动,并从泄露的 Mirai 源代码中借用了一些模块。值得注意的是,Gafgyt 的源代码于 2015 年初在网上泄露,进一步助长了其新版本和适应版本的出现。

最新的攻击链涉及使用弱密码暴力破解 SSH 服务器,部署下一阶段有效载荷,以便使用 "systemd-net "进行加密货币挖矿攻击,但在这一过程中,会先终止在受感染主机上运行的其他竞争性恶意软件。

它还会执行一个蠕虫模块,这是一个基于 Go 的 SSH 扫描器,名为 ld-musl-x86,负责扫描互联网上安全性较差的服务器,并将恶意软件传播到其他系统,从而有效扩大僵尸网络的规模。这包括 SSH、Telnet 以及与游戏服务器和 AWS、Azure 和 Hadoop 等云环境相关的凭证。

Morag 指出:"目前使用的加密货币挖矿工具是 XMRig,它是一款专门用于挖掘门罗币的软件。在这次攻击中,威胁行为者试图利用 opencl 和 cuda 标志来运行挖矿软件,以便更充分地利用 GPU 和 Nvidia GPU 的计算能力。"

结合攻击者主要通过挖矿而非发起DDoS攻击来实现其目的,进一步支持了研究人员的观点,即这种新变种与以往的不同,它专注于攻击那些具有强大计算能力的云原生环境。

通过查询 Shodan 收集到的数据显示,目前有超过 3000 万台可公开访问的 SSH 服务器,因此用户必须采取措施保护实例的安全,防止暴力破解攻击和潜在的利用。

参考来源:

New Gafgyt Botnet Variant Targets Weak SSH Passwords for GPU Crypto Mining

相关推荐
sdghterhd1 小时前
WebSocket 快速入门教程(附示例源码)
网络·websocket·网络协议
xy34532 小时前
Wireshark捕获过滤器——语法元素详解
网络·测试工具·渗透测试·wireshark
DLYSB_3 小时前
生命通道:如何用 HIS 医疗系统直连网络声光终端,打造“零延误”的危急值响应网关?
java·网络·数据库·报警灯
德福危险4 小时前
富有想象力的XSS盲打:靶机练习之Tempus_fugit5
服务器·网络·xss
哥是强混5 小时前
Means:基于 .NET 10 打造的开源自部署 S3 兼容对象存储服务
网络·数据库·.net
Piko6146 小时前
锐捷 VSU 虚拟化堆叠配置
运维·网络·笔记
AOwhisky7 小时前
Python 学习笔记(第三期)——流程控制:条件判断与循环结构
运维·笔记·python·学习·云原生·流程控制·循环
爱研究的小梁8 小时前
乾元通多链路聚合通信主流落地应用案例
网络·信息与通信
Bobolink_8 小时前
跨境网络丢包优化实践,从5%到0.2%的排查与调整过程
网络·跨境网络·丢包优化
Waay8 小时前
Linux 三个核心环境变量配置文件、作用域、生效方式完整梳理
linux·运维·学习·云原生·容器