新發現 KmsdBot 惡意軟體進行加密貨幣挖礦與 DDoS 攻擊活動
- 發布單位:TWCERT/CC
- 更新日期:2022-11-28
- 點閱次數:364
網路基礎架構公司 Akamai 旗下的資安研究人員,近來發現一個全新的侵入型惡意軟體 KmsdBot,會利用防護力薄弱的登入資訊,以 SSH 連線登入受害主機,進行加密貨幣挖礦與分散式服務阻斷(Distributed Denial of Service, DDoS) 攻擊。
據 Akamai 發表的研究報告指出,該公司發現 KmsdBot 會鎖定包括遊戲公司、科技公司、豪華轎車生產廠商,甚至資安防護廠商等產業進行攻擊。
Akamai 觀察到 KmsdBot 發動的 DDoS 攻擊首例,是針對遊戲公司 FiveM;該公司讓玩家可以自行設立「俠盜獵車手」(Grand Theft Auto)Online 的私人伺服器,而 KmsdBot 鎖定該公司的服務,進行 Layer 4 與 Layer 7 的攻擊。
針對 KmsdBot 運作模式的分析則指出,該惡意軟體 kmsdx 會先進行掃瞄程序、軟體更新以及背景加密貨幣挖礦,同時也會與駭侵者設立的控制伺服器連線,然後下載一批登入資訊,試圖以掃瞄到的開放 SSH 連接埠來進行連線。
在加密貨幣挖礦方面,KmsdBot 使用的是更名過的 xmrig 挖礦程式,通常用來挖掘難以追蹤流向與收發者的 Monero 加密貨幣。
Akamai 的報告也指出,這個 KmsdBot 是跨平台的,可以感染 Winx86、Arm64、mips64、X86_64 等不同平台。
建議不論個人或企業,均應避免使用防護能力薄弱的登入帳密,除應開啟多階段登入驗證外,也應確保系統與軟體經常更新至最新版本,且應關閉所有不應對外開放的 Telnet、FTP、SSH 連接埠。