OpenSSH木马攻击物联网和Linux系统

安全研究人员发现了一种复杂的攻击活动，该攻击活动利用定制和开源工具来攻击基于linux的系统和物联网(IoT)设备。

根据微软的一篇新博客文章，攻击者利用OpenSSH的补丁版本来控制受感染的设备并安装加密恶意软件。

攻击活动涉及一个已建立的犯罪基础设施，该基础设施使用属于东南亚金融机构的子域作为指挥和控制(C2)服务器。

威胁行为者使用了一个后门，部署了各种工具，包括rootkit和IRC bot，来窃取设备资源，用于加密货币挖矿操作。

此外，后门安装了一个修改版本的OpenSSH，允许攻击者劫持SSH凭证，在网络中横向移动并隐藏恶意SSH连接。

就攻击链而言，威胁参与者通过在错误配置的面向internet的Linux设备上强制使用凭据发起攻击。

一旦受到攻击，他们就下载并安装了恶意的OpenSSH包，该包授予他们持久访问权限和拦截SSH凭证的能力。修改后的OpenSSH版本模仿了合法服务器，使检测更具挑战性。

此外，后门部署了开源rootkit，如Diamorphine和Reptile，以隐藏其在受损系统中的存在。

它还通过名为ZiggyStarTux的IRC机器人与远程命令和控制服务器建立了通信。这使得威胁参与者能够发出命令并发起分布式拒绝服务(DDoS)攻击。

在其咨询中，微软推荐了几种缓解措施来保护设备和网络免受这种威胁。

这些措施包括确保面向互联网的设备的安全配置，维护最新的固件和补丁，使用安全的VPN服务进行远程访问，以及采用全面的物联网安全解决方案。

在微软发布这篇博文的几周前，该公司宣布将OpenAI技术整合到其服务中。