主要有3组人马利用这项漏洞,其中一组特别引起他们的注意,因为骇客们使用Shell指令码进行SSH连线,而能在受害伺服器的环境挖矿。
攻击者下载Shell档案,并从记忆体内透过bash开启。研究人员对这个指令码进行分析,指出一旦启动,此指令码会先清除已知的挖矿软体处理程序,以及从特定资料夹执行的处理程序。
接著,指令码将删除所有cron工作排程,并新增C2连线的工作排程,每5分钟检查一次。此外,该指令码还会移除阿里云的资安防护机制Alibaba Cloud Shield、腾讯云的映像档案。
然后,攻击者进一步收集所需的系统资讯,并透过SSH连线从事挖矿行为,这些骇客也透过SSH进行横向移动,利用其他伺服器扩大挖矿的规模。最终攻击者清除系统及bash的事件记录档案,抹去作案痕迹。