利用Diamorphine Rootkit的蠕虫式攻击窃取SSH密钥并提权

文章预览

网络安全研究团队ANY.RUN发现一起复杂攻击活动，攻击者利用Diamorphine rootkit（根套件）在Linux系统上部署加密货币挖矿程序，这凸显了开源工具在恶意活动中被滥用的趋势日益严重。 通过ANY.RUN沙箱的详细分析，该攻击采用多阶段渗透策略，运用高级持久化和规避技术，对基于Linux的环境构成重大威胁。 Part 01 隐蔽的多阶段攻击链 攻击始于一个伪装成Python文件的分支脚本，该脚本部署了Diamorphine rootkit——这是一个可加载内核模块(LKM)，支持从2.6.x到6.x版本的Linux内核，兼容x86、x86_64和ARM64架构。 该rootkit通过劫持系统调用来隐藏自身活动，同时执行精心设计的攻击步骤：首先安装所需依赖项并终止竞争进程（如其他加密货币挖矿程序）以最大化资源利用率；随后从互联网下载三个恶意负载：伪装成python-3.7.3.so的挖矿程序、挖矿负载cloud以及Diamorphine rootki ………………………………