發現Linux挖礦軟體利用合法網站傳播惡意軟體多年
資訊安全公司 VulnCheck 調查指出一支運行多年、專門在 Linux 伺服器與工作站中埋伏的加密挖礦惡意程式(稱為 Linuxsys miner)自 2021 年起無聲擴散,並持續運作至今。該組織擅長滲透合法網站,藉由植入或修改 SSL 憑證正常的第三方網站,當成惡意程式的載點,成功避開防毒與安全過濾機制。
攻擊手法剖析
利用合法網站當做中繼平台:攻擊者潛入多個信譽良好的網站(例如 prepstarcenter.com、wisecode.it、dodoma.shop),將載有 Linuxsys 二進制檔與其設定檔(.sh 腳本)植入其中。不使用專門的惡意域名,有效降低被偵測風險。
利用 n‑day 弱點建立入口:根據 VulnCheck,攻擊者鎖定諸如 CVE‑2021‑41773(Apache HTTPD 2.4.49)、CVE‑2023‑22527、2023‑34960、2024‑36401 等已知漏洞(n‑day),發表攻擊腳本定期探測目標伺服器。一旦伺服器暴露,即自動部署載下惡意腳本進行挖礦。
持久化與自動更新:下載後的 linux.sh 腳本會撈取設定及 Linuxsys miner,並設置為開機或定期執行。設定檔中包含連接至 mining pool(如 hashvault.pro)與指定錢包地址的資訊,使挖礦收益直接入帳。
長期低噪音運作:Key point 在於「持續而非大量」的挖礦與持續感染策略。每日平均收益約為 0.024 XMR(折合約 8 美元),雖收入不高但穩定。推測可能存在其他尚未發現的目標或活動模式。同時,攻擊者避免掃蕩高互動蜜罐伺服器,降低被異常流量檢測系統發現的機率。
主要風險
- 滲透性強、難以察覺:利用合法網站和 SSL 證書誤導安全檢測,使惡意活動表面更具可信度。
- 漏洞依賴性高但適應性強:縱使漏洞有補丁,攻擊者仍可透過其他已公開弱點持續滲透(n‑day 攻擊)。
- 規模易於控制:低流量、高隱匿避免影響伺服器效能,維持曝光風險低。
這場被命名為「Linuxsys miner」的活動顯示資安攻防已進入「合法平台被植入惡意」,並利用現代安全架構的信任假設進行突破。此種滲透方式修正了傳統「惡意域」和「高流量攻擊」的預期,轉向低噪音、分散式長期駭入。
企業或小型組織應強化以下三大方向:
- 可信網站的來源完整性管控與檢測。
- 對 n‑day 弱點的主動掃描與快速修補迴圈。
- 進階入侵行為的偵測機制(如 C2 流量異常、出站連線)。
唯有從架構、流程與技術面同步落實,才能阻絕此類掩蔽式加密挖礦攻擊,避免成為駭客默默載入計算資源的「肉雞」。
資料來源:https://hackread.com/linux-cryptominer-using-legit-sites-to-spread-malware/