云端Linux成为两大挖矿黑客集团的战场

安全研究人员发现去年以来云端Linux服务器成为两大黑客地盘互抢地盘，沦为挖矿恶意软件竞赛的领域。安全厂商Intezer发现一个名为Pacha Group的黑客团体，自去年九月以来，就锁定云端Linux服务器植入一只变种挖矿软件Linux.GreedyAntd。Pacha首先由思科旗下的Talos安全研究小组，于去年发现，也曾对Linux和云端平台发动采矿攻击，但是GreedyAntd包含多项特殊能力与前代的挖矿程序不同，以致于迄今才被发现。研究人员发现，这只变种多项特点与Rocke Group十分类似，后者是较早出现、以挖Monero币为目的的黑客组织。例如GreedyAntd具有档案路径黑名单，可搜寻和关闭云端防毒产品如Alibaba Server Guard，它最近锁定Atlassian Confluence知识管理和协同软件的漏洞，以及使用用户模式（user-mode）rootkit程序的特性，也和Rocke相同。研究人员Nacho Sanmillan指出，Pacha和Rocke都是大规模扫瞄网络上有漏洞未修补的Linux服务器和云端服务，感染多功能的恶意软件植秼。

但是Pacha并不是要模仿Rocke，而是为了侦测与颠覆这个竞争者。例如GreedyAntd包含采矿程序的黑名单，刚好可搜寻并根除掉Rocke使用的程序。此外，它还具有一个IP黑名单，研究人员发现，这个名单中的IP位置是Rocke 过去发动采矿攻击使用的基地网域。GreedyAntd植入受害系统后，这些系统上的Rocke采矿程序就会被移除，而且无法再连到这些网域，也就断了Rocke的网络。研究人员因此分析，这两个黑客组织目前正在进行地盘抢夺。安全公司提供了YARA规则供用户系统防范Pacha GreedAntd恶意软件感染。这次研究也突显挖矿攻击趋势的变化。过去黑客锁定一般桌面计算机或笔电植入挖矿软件，但现在由于云端平台比一般PC拥有更多运算能力，包括Jenkins、Confluence 及Apache Struts、JBoss等系统，近年也成为黑客发动挖矿攻击的目标。