Các máy chủ SSH Linux được bảo mật kém đang bị tấn công để khai thác tiền điện tử

Các máy chủ Linux SSH được bảo mật kém đang bị tin tặc nhắm đến để cài đặt các công cụ scan port và công cụ dò quét mật khẩu nhằm tìm kiếm các máy chủ dễ bị tấn công khác và đưa chúng vào một mạng để thực hiện các cuộc tấn công khai thác tiền điện tử và từ chối dịch vụ (DDoS).

“Những kẻ đe dọa cũng có thể chỉ cài đặt công cụ scan và bán thông tin đăng nhập và IP bị vi phạm trên các trang web đen”, Trung tâm ứng cứu sự cố bảo mật khẩn cấp AhnLab (ASEC) cho biết.

Trong các cuộc tấn công này, kẻ tấn công cố gắng đoán thông tin đăng nhập SSH của máy chủ bằng cách thử qua danh sách các tổ hợp tên người dùng và mật khẩu thường được sử dụng, một kỹ thuật được gọi là tấn công từ điển (dictionary attack).

Nếu thành công, tác nhân đe dọa có thể triển khai các phần mềm độc hại khác, bao gồm cả công cụ quét mạng, để dò quét các hệ thống dễ bị tấn công khác trên internet.

Cụ thể, công cụ scan được thiết kế để tìm kiếm các hệ thống có cổng 22 - được liên kết với dịch vụ SSH - đang hoạt động và sau đó lặp lại quá trình thực hiện một cuộc tấn công từ điển để cài đặt phần mềm độc hại, lây nhiễm mã độc.

Một khía cạnh đáng chú ý khác của cuộc tấn công là việc thực thi các lệnh như "grep -c ^processor /proc/cpuinfo" để xác định số lượng CPU core.

ASEC cho biết: “Những công cụ này được cho là do PRG old Team tạo ra”, và có dấu hiệu cho thấy phần mềm độc hại này đã được sử dụng vào đầu năm 2021.

Để giảm thiểu rủi ro liên quan đến các cuộc tấn công này, người dùng nên sử dụng mật khẩu khó đoán, thay đổi mật khẩu định kỳ và luôn cập nhật hệ thống của mình.

Nguồn: thehackernews.com.