駭客使用新的 Linux 惡意程式攻擊 Huawei Cloud

本文討論 Linux 惡意程式的一項最新發展趨勢,駭客利用惡意程式碼來移除 Huawei Cloud 的應用程式和服務。

趨勢科技觀察到 Linux 威脅又出現另一波演變,專門瞄準一些新興的雲端服務供應商 (CSP),並使用虛擬加密貨幣挖礦惡意程式來從事挖礦( coinmining )攻擊。本文討論 Linux 惡意程式的一項最新發展趨勢,駭客利用惡意程式碼來移除 Huawei Cloud (華為雲) 的應用程式和服務。惡意程式碼會停用 hostguard 服務,這是 Huawei Cloud Linux 代理程式的處理程序,負責「偵測資安問題、保護系統並監控代理程式」。此外,惡意程式碼還含有  cloudResetPwdUpdateAgent 這個開放原始碼外掛代理程式,可讓 Huawei Cloud 使用者重設  Elastic Cloud Service (ECS) 執行個體的密碼,這是 其公用映像預設會安裝的一個代理程式。由於駭客的指令列腳本 (shell script) 當中含有這兩項服務,因此我們判斷駭客應該是專門攻擊 Huawei  Cloud 內 ECS 執行個體的漏洞。 

繼續閱讀

攻擊者利用 Struts和 DotNetNuke 伺服器漏洞,進行數位貨幣挖礦攻擊

最近幾個月來,惡意份子已經將數位貨幣挖礦視作可行的賺錢方式。挖礦攻擊利用使用者的電腦運算能力來挖掘各種數位貨幣,最常見的是利用惡意軟體或被駭網站。透過入侵伺服器來執行挖礦程式可以讓惡意份子得到更多的運算能力,並從非法挖礦中賺取更多利潤。

趨勢科技在最近幾週注意到針對CVE-2017-5638Apache Struts的漏洞)和CVE-2017-9822DotNetNuke的漏洞)的攻擊次數顯著地增加。這些漏洞的修補程式都已經釋出。這些漏洞存在於開發者常用於建構網站的Web應用程式內,所以可能出現在許多伺服器上。2017年的大規模Equifax資料外洩事件也跟Struts漏洞有關。

我們認為這些攻擊的幕後黑手是同一個,因為這些網站都指向同個網域來下載門羅幣挖礦程式,也都指向同一個門羅幣地址。這地址已經收到了30個門羅幣(XMR),以2018年1月中的匯率來看約等於12,000美元。

 

分析

攻擊上述漏洞的惡意HTTP請求被發送到目標伺服器。這些HTTP請求包含編碼過的腳本程式。上述漏洞被利用來在受影響的Web伺服器執行這程式。使用多層混淆技術的程式碼可以讓分析和偵測變得更加困難。Windows和Linux系統都成為了這波攻擊的目標。

一旦將混淆過的程式碼完全解碼後就會找到這波攻擊活動的最終目標。程式碼最終會下載惡意軟體:一個門羅幣挖礦程式。

圖1和2、發送到目標伺服器的HTTP請求,分別針對了Struts和DotNetNuke漏洞

繼續閱讀