• 發布單位:TWCERT/CC
• 更新日期:2022-11-28
• 點閱次數:246

網路基礎架構公司 Akamai 旗下的資安研究人員，近來發現一個全新的侵入型惡意軟體 KmsdBot，會利用防護力薄弱的登入資訊，以 SSH 連線登入受害主機，進行加密貨幣挖礦與分散式服務阻斷（Distributed Denial of Service, DDoS） 攻擊。

據 Akamai 發表的研究報告指出，該公司發現 KmsdBot 會鎖定包括遊戲公司、科技公司、豪華轎車生產廠商，甚至資安防護廠商等產業進行攻擊。

Akamai 觀察到 KmsdBot 發動的 DDoS 攻擊首例，是針對遊戲公司 FiveM；該公司讓玩家可以自行設立「俠盜獵車手」（Grand Theft Auto）Online 的私人伺服器，而 KmsdBot 鎖定該公司的服務，進行 Layer 4 與 Layer 7 的攻擊。

針對 KmsdBot 運作模式的分析則指出，該惡意軟體 kmsdx 會先進行掃瞄程序、軟體更新以及背景加密貨幣挖礦，同時也會與駭侵者設立的控制伺服器連線，然後下載一批登入資訊，試圖以掃瞄到的開放 SSH 連接埠來進行連線。

在加密貨幣挖礦方面，KmsdBot 使用的是更名過的 xmrig 挖礦程式，通常用來挖掘難以追蹤流向與收發者的 Monero 加密貨幣。

Akamai 的報告也指出，這個 KmsdBot 是跨平台的，可以感染 Winx86、Arm64、mips64、X86_64 等不同平台。

建議不論個人或企業，均應避免使用防護能力薄弱的登入帳密，除應開啟多階段登入驗證外，也應確保系統與軟體經常更新至最新版本，且應關閉所有不應對外開放的 Telnet、FTP、SSH 連接埠。