安全研究人員發(fā)現(xiàn)了一種復雜的攻擊活動，該攻擊活動利用定制和開源工具來攻擊基于linux的系統(tǒng)和物聯(lián)網(wǎng)(IoT)設備。

根據(jù)微軟的一篇新博客文章，攻擊者利用OpenSSH的補丁版本來控制受感染的設備并安裝加密惡意軟件。

攻擊活動涉及一個已建立的犯罪基礎設施，該基礎設施使用屬于東南亞金融機構的子域作為指揮和控制(C2)服務器。

威脅行為者使用了一個后門，部署了各種工具，包括rootkit和IRC bot，來竊取設備資源，用于加密貨幣挖礦操作。

此外，后門安裝了一個修改版本的OpenSSH，允許攻擊者劫持SSH憑證，在網(wǎng)絡中橫向移動并隱藏惡意SSH連接。

就攻擊鏈而言，威脅參與者通過在錯誤配置的面向internet的Linux設備上強制使用憑據(jù)發(fā)起攻擊。

一旦受到攻擊，他們就下載并安裝了惡意的OpenSSH包，該包授予他們持久訪問權限和攔截SSH憑證的能力。修改后的OpenSSH版本模仿了合法服務器，使檢測更具挑戰(zhàn)性。

此外，后門部署了開源rootkit，如Diamorphine和Reptile，以隱藏其在受損系統(tǒng)中的存在。

它還通過名為ZiggyStarTux的IRC機器人與遠程命令和控制服務器建立了通信。這使得威脅參與者能夠發(fā)出命令并發(fā)起分布式拒絕服務(DDoS)攻擊。

在其咨詢中，微軟推薦了幾種緩解措施來保護設備和網(wǎng)絡免受這種威脅。

這些措施包括確保面向互聯(lián)網(wǎng)的設備的安全配置，維護最新的固件和補丁，使用安全的VPN服務進行遠程訪問，以及采用全面的物聯(lián)網(wǎng)安全解決方案。

在微軟發(fā)布這篇博文的幾周前，該公司宣布將OpenAI技術整合到其服務中。