网络安全研究人员发现了 Gafgyt 僵尸网络的一种新变体，该僵尸网络针对具有弱 SSH 密码的机器，最终使用其 GPU 计算能力在受感染的实例上挖掘加密货币。

这表明“物联网僵尸网络的目标是在云原生环境中运行的更强大的服务器，”Aqua Security研究员Assaf Morag在周三的分析中表示。

自 2014 年以来，已知 Gafgyt（又名 BASHLITE、Lizkebab 和 Torlus）在野外活跃，有利用弱或默认凭据来控制路由器、摄像头和数字视频录像机 （DVR） 等设备的历史。它还能够利用 Dasan、华为、Realtek、SonicWall 和 Zyxel 设备中的已知安全漏洞。

受感染的设备被围困在一个僵尸网络中，该僵尸网络能够针对感兴趣的目标发起分布式拒绝服务 （DDoS） 攻击。有证据表明，Gafgyt 和 Necro 由一个名为 Keksec 的威胁组织运营，该组织也被追踪为 Kek Security 和 FreakOut。

像 Gafgyt 这样的物联网僵尸网络不断发展以添加新功能，2021 年检测到的变体使用 TOR 网络来掩盖恶意活动，并从泄露的 Mirai 源代码中借用一些模块。值得注意的是，Gafgyt 的源代码在 2015 年初就在网上泄露，进一步推动了新版本和改编版本的出现。

最新的攻击链涉及使用弱密码暴力破解 SSH 服务器，以部署下一阶段的有效载荷，以促进使用“systemd-net”的加密货币挖掘攻击，但在终止已经在受感染主机上运行的竞争恶意软件之前。

它还执行一个蠕虫模块，一个名为 ld-musl-x86 的基于 Go 的 SSH 扫描器，该模块负责扫描互联网上以查找安全性较差的服务器，并将恶意软件传播到其他系统，从而有效地扩大了僵尸网络的规模。这包括 SSH、Telnet 以及与游戏服务器和云环境（如 AWS、Azure 和 Hadoop）相关的凭据。

“正在使用的加密矿工是XMRig，一个门罗币加密货币矿工，”莫拉格说。“然而，在这种情况下，威胁行为者正在寻求使用 –opencl 和 –cuda 标志运行加密矿工，这些标志利用了 GPU 和 Nvidia GPU 的计算能力。”

“这一点，再加上威胁行为者的主要影响是加密挖矿而不是DDoS攻击这一事实，支持了我们的说法，即这种变体与以前的变体不同。它旨在针对具有强大 CPU 和 GPU 功能的云原生环境。

通过查询 Shodan 收集的数据显示，有超过 3000 万台可公开访问的 SSH 服务器，因此用户必须采取措施保护实例免受暴力攻击和可能的利用。