两大挖矿骇客集团在云端Linux环境争地盘

安全研究人员发现去年以来云端Linux服务器成为两大骇客地盘互抢地盘，沦为挖矿恶意程式竞赛的领域。

安全厂商Intezer发现一个名为Pacha Group的骇客团体，自去年九月以来，就锁定云端Linux服务器植入一只变种挖矿软件Linux.GreedyAntd。Pacha首先由思科旗下的Talos安全研究小组，于去年发现，也曾对Linux和云端平台发动采矿攻击，但是GreedyAntd包含多项特殊能力与前代的挖矿程式不同，以致于迄今才被发现。

研究人员发现，这只变种多项特点与Rocke Group十分类似，后者是较早出现、以挖Monero币为目的的骇客组织。例如GreedyAntd具有档案路径黑名单，可搜寻和关闭云端防毒产品如Alibaba Server Guard，它最近锁定Atlassian Confluence知识管理和协同软件的漏洞，以及使用使用者模式（user-mode）rootkit程式的特性，也和Rocke相同。研究人员Nacho Sanmillan指出，Pacha和Rocke都是大规模扫描网络上有漏洞未修补的Linux服务器和云端服务，感染多功能的恶意程式植秼。

但是Pacha并不是要模仿Rocke，而是为了侦测与颠覆这个竞争者。例如GreedyAntd包含采矿程式的黑名单，刚好可搜寻并根除掉Rocke使用的程式。此外，它还具有一个IP黑名单，研究人员发现，这个名单中的IP位置是Rocke 过去发动采矿攻击使用的基地网域。GreedyAntd植入受害系统后，这些系统上的Rocke采矿程式就会被移除，而且无法再连到这些网域，也就断了Rocke的网络。研究人员因此研判，这两个骇客组织目前正在进行地盘抢夺。

安全公司提供了YARA规则供用户系统防范Pacha GreedAntd恶意程式感染。

这次研究也突显挖矿攻击趋势的变化。过去骇客锁定一般台式电脑或笔电植入挖矿软件，但现在由于云端平台比一般PC拥有更多运算能力，包括Jenkins、Confluence 及Apache Struts、JBoss等系统，近年也成为骇客发动挖矿攻击的目标。