近日，網絡安全研究人員發現了 Gafgyt 僵尸網絡的一個新變種，它以 SSH 密碼較弱的機器為目標，最終利用其 GPU 計算能力在被攻擊的實例上挖掘加密貨幣。

Aqua Security 研究員 Assaf Morag 在周三的一份分析報告中說："這表明，物聯網僵尸網絡正在瞄準運行在云原生環境中的更強大的服務器?！?/p>

據了解，Gafgyt（又名 BASHLITE、Lizkebab 和 Torlus）自 2014 年以來一直在野外活躍，它曾利用弱憑據或默認憑據獲得路由器、攝像頭和數字視頻錄像機（DVR）等設備的控制權。它還能利用 Dasan、華為、Realtek、SonicWall 和 Zyxel 設備中的已知安全漏洞。

受感染的設備被集中到一個僵尸網絡中，能夠對感興趣的目標發起分布式拒絕服務（DDoS）攻擊。有證據表明，Gafgyt 和 Necro 由一個名為 Keksec 的威脅組織運營，該組織也被追蹤為 Kek Security 和 FreakOut。

像 Gafgyt 這樣的物聯網僵尸網絡在不斷進化，增加新的功能，2021 年檢測到的變種使用 TOR 網絡來掩蓋惡意活動，并從泄露的 Mirai 源代碼中借用了一些模塊。值得注意的是，Gafgyt 的源代碼于 2015 年初在網上泄露，進一步助長了其新版本和適應版本的出現。

最新的攻擊鏈涉及使用弱密碼暴力破解 SSH 服務器，部署下一階段有效載荷，以便使用 “systemd-net ”進行加密貨幣挖礦攻擊，但在這一過程中，會先終止在受感染主機上運行的其他競爭性惡意軟件。

它還會執行一個蠕蟲模塊，這是一個基于 Go 的 SSH 掃描器，名為 ld-musl-x86，負責掃描互聯網上安全性較差的服務器，并將惡意軟件傳播到其他系統，從而有效擴大僵尸網絡的規模。這包括 SSH、Telnet 以及與游戲服務器和 AWS、Azure 和 Hadoop 等云環境相關的憑證。

Morag 指出："目前使用的加密貨幣挖礦工具是 XMRig，它是一款專門用于挖掘門羅幣的軟件。在這次攻擊中，威脅行為者試圖利用 opencl 和 cuda 標志來運行挖礦軟件，以便更充分地利用 GPU 和 Nvidia GPU 的計算能力。”

結合攻擊者主要通過挖礦而非發起DDoS攻擊來實現其目的，進一步支持了研究人員的觀點，即這種新變種與以往的不同，它專注于攻擊那些具有強大計算能力的云原生環境。

通過查詢 Shodan 收集到的數據顯示，目前有超過 3000 萬臺可公開訪問的 SSH 服務器，因此用戶必須采取措施保護實例的安全，防止暴力破解攻擊和潛在的利用。