其他討論包括:Reddit、Stack Overflow(西班牙語)、forobeta(西班牙語)、brainycp(俄語)、natnetwork(印尼語)、Proxmox(德語)、Camel2243(中文)、svrforum(韓語)、exabytes、virtualmin、serverfault等。
在利用漏洞或錯誤配置後,利用程式碼會從伺服器下載主要有效負載,在大多數情況下,該伺服器已被攻擊者駭客攻擊並轉換為匿名分發惡意軟體的通道。針對研究人員蜜罐的攻擊名為 httpd。執行後,該檔案會將自身從記憶體複製到 /temp 目錄中的新位置,運行它,然後終止原始進程並刪除下載的二進位。
一旦移動到 /tmp 目錄,該檔案就會以不同的名稱執行,該名稱模仿已知 Linux 進程的名稱。蜜罐上託管的檔案名稱為 sh。從那裡,該檔案建立一個本地命令和控制進程,並嘗試透過利用CVE-2021-4043 來獲取根系統權限,CVE-2021-4043 是一個特權升級漏洞,已於2021 年在廣泛使用的開源多媒體框架Gpac 中修補。
該惡意軟體繼續將自身從記憶體複製到少數其他磁碟位置,再次使用顯示為常規系統檔案的名稱。然後,該惡意軟體會釋放一個 Rootkit(一系列已修改為 Rootkit 的熱門 Linux 實用程式)和挖礦程式。在某些情況下,惡意軟體還會安裝用於「代理劫持」的軟體,該術語是指透過受感染的電腦秘密路由流量,因此資料的真實來源不會被洩露。
研究人員繼續說:
透過推斷由 Shodan 和 Censys 等服務追蹤的跨各種服務和應用程式連接到互聯網的 Linux 伺服器數量等數據,研究人員估計被 Perfctl 感染的機器數量為數千台。他們表示,存在漏洞的機器(即尚未安裝 CVE-2023-33426 修補程式或包含易受攻擊的錯誤配置的機器)有數百萬台。研究人員尚未測量惡意礦工產生的加密貨幣數量。
想要確定自己的設備是否已成為 Perfctl 的目標或感染的人應該尋找周四帖子中包含的妥協指標。他們也應該留意 CPU 使用率的異常峰值或系統突然減速,尤其是在空閒時間發生的情況。週四的報告也首先提供了預防感染的步驟。
這個故事最初出現在 技術藝術節。