据微软称，新的活动正在进行中，并使用后门安装OpenSSH的修补版本来劫持目标设备。除了加密货币挖矿之外，该活动还涉及劫持SSH凭证、隐藏恶意SSH连接等。

微软研究人员发现了一种新的加密劫持活动，该活动利用自定义和开源工具来针对IoT（物联网）设备和基于Linux的系统进行加密挖矿（又称为加密货币挖矿）。

攻击者使用可以部署各种“工具和组件”（例如Rootkit和IRC机器人）的后门来窃取设备资源。该后门会安装OpenSSH的修补版本来劫持受影响的设备系统并安装加密货币挖矿程序。

完成此操作后，除了加密挖矿之外，攻击者还可以执行一系列活动，例如在网络中横向移动、劫持SSH凭据以及隐藏恶意SSH连接。

攻击者需要劫持SSH凭据，并为此寻找配置错误的Linux主机。这些主机被暴力强制以获得初始访问权限。当目标设备受到威胁时，第一步是禁用shell历史记录。

下一步是从远程服务器提取木马OpenSSH软件包“openssh-8.0p1.tgz”。它包含“良性OpenSSH源代码和其他恶意文件”，例如arm4I、arm5I、x86、i568、i686的后门二进制文件、shell脚本inst.sh以及包含shell脚本vars.sh 的存档，其中包含所有后门运行所需的文件。安装有效负载后，inst.sh脚本会运行与设备架构匹配的后门二进制文件。

该后门是使用Shell脚本编译器编译的Shell脚本。它允许威胁行为者分发有效负载并进行后利用攻击，例如窃取和发送设备信息，以及清除Apache、nginx、httpd和系统日志以隐藏其恶意活动并保持不被发现。

为了保留SSH访问权限，后门会修改系统授权密钥配置文件中所有用户的两个公钥。此外，该后门还可以安装logtamper开源实用程序，用于清除记录用户登录会话和系统事件数据的wtmp和utmp日志。

在这次活动中，正如微软威胁英特尔团队在其博客文章中所说，攻击者使用加密劫持来安装加密挖矿程序。在加密劫持中，计算机资源被非法耗尽以产生收入。几乎所有设备、工具、服务和IT基础设施（包括物联网）都容易受到加密劫持。在启动矿机之前，所有竞争的加密挖矿过程都会被消除。

此外，后门运行名为ZiggyStarTux的基于Kaiten恶意软件的DDoS客户端的修改版本，该客户端执行从攻击者的C2服务器收到的bash命令。C2通信是通过一个身份不明的东南亚金融机构的子域建立的，以隐藏恶意流量。

后门通过测试对虚拟文件系统/proc的访问来确定设备是否是蜜罐。如果无法访问，后门就会退出。如果它可以访问/proc，它就会提取设备数据，例如操作系统版本和网络配置等，并将其通过电子邮件发送到硬编码地址（dotsysadminprotonmailcom）或攻击者的地址。它可以编译/下载/安装的开源rootkit包括Reptile和Diamorphine，两者都可以在GitHub上找到。

微软敦促用户通过确保安全配置、使用强密码和定期更新固件来提高互联网设备的安全性。对于远程访问，应首选VPN，并且用户应始终使用最新版本的OpenSSH。