加密货币矿工活动已持续多年，利用合法网站传播恶意软件，通过已知漏洞攻击Linux系统并逃避检测。

VulnCheck最近的一项调查揭露了一场潜伏多年的加密货币挖矿活动。该活动的幕后黑手使用Linuxsys挖矿软件，至少自2021年以来一直以易受攻击的系统为目标，并始终坚持严重依赖受感染的合法网站来传播恶意软件的策略。

此次攻击活动之所以更难被发现，是因为攻击者使用真实网站作为恶意软件传播渠道。他们没有将有效载荷托管在可疑域名上，而是入侵拥有有效SSL证书的第三方网站，并植入下载链接。这不仅帮助他们绕过了诸多安全过滤器，还使其核心基础设施（例如下载器网站repositorylinux.org）与实际恶意软件文件保持距离。

今年7月1日至7月16日期间，VulnCheck分析师发现该IP地址针对Canary Apache 2.4.49实例进行了多次攻击尝试。这些攻击尝试与CVE-2021-41773漏洞103.193.177.152有关。虽然该漏洞并非新漏洞，且持续受到攻击，但利用该漏洞的实体却引人注目。

攻击者使用了一个名为的简单脚本linux.sh，该脚本从五个受感染网站列表中下载配置文件和Linuxsys二进制文件。这些网站包括prepstarcenter.com、wisecode.it和等域名dodoma.shop，而这些网站在其他方面都看起来很普通。

根据VulnCheck周三提前分享的博客文章，该列表并非随机的。这为攻击者提供了备用选项，即使某个网站被关闭或停止运行，恶意软件仍能不间断地传播。

从这些网站检索到的矿工配置文件指向hashvault.pro矿池，并标识了与该操作关联的钱包。该钱包自2025年1月以来一直在接收小额付款，平均每天约0.024XMR，约合8美元。

虽然8美元听起来微不足道，但这项行动并不一定是为了高收入。其持续性和持续时间表明还有其他目标，或者可能是其他地方有更多尚未观察到的挖矿活动。

追溯Linuxsys的历史，它最早出现在2021年，由Linux和Unix数字取证领域备受尊敬的专家Hal Pomeranz撰写的一篇博客文章中，分析了同一CVE的利用情况。此后，多家网络安全公司报告称，它与多个漏洞有关。其中包括最近的CVE，例如2023-22527、2023-34960和2024-36401。

所有这些安全漏洞都是通过n-day漏洞利用、在受感染的Web基础设施上进行内容暂存以及持续挖矿操作来利用的。n-day 漏洞是指已知且通常已有修复程序的安全漏洞。其名称仅表示该漏洞已公开一定天数，“n”表示自该问题首次公开或修补以来已过了多少天。

还有一些证据表明，此次攻击并非仅限于Linux系统。在同一台受感染主机上发现了两个Windows可执行文件，分别是nssm.exe和winsys.exe。虽然VulnCheck并未观察到这些文件的实际运行情况，但它们的存在表明，攻击范围远不止Linux系统。

此次攻击活动之所以如此低调，很可能是谨慎的攻击目标和刻意避开蜜罐的结合。VulnCheck指出，攻击者似乎偏爱高交互环境，这意味着典型的诱饵服务器通常会完全错过此类活动。这种谨慎的做法很可能帮助该活动在活跃多年后避免引起过多关注。

VulnCheck发布了Suricata和Snort规则，用于检测所有已知相关CVE的漏洞利用尝试。同时，入侵指标(IoC)包括与攻击相关的IP、URL和文件哈希。他们还提供了检测规则，安全团队可以使用这些规则来识别与下载器和初始有效载荷脚本相关的DNS查询和HTTP流量。