研究人员警告说，有来自罗马尼亚的Linux加密劫持攻击者

一个可能总部位于罗马尼亚且至少自2020年以来一直处于活跃状态的威胁组织一直在幕后策划一场针对基于Linux的机器的主动加密攻势，该攻势使用了一个以前未注册的SSH暴力破解工具，该工具是用Golang编写的。

Bitdefender的研究人员在上周发布的一份报告中称，这个名为“Diicot brute”的密码破解工具据称是通过软件即服务模式分发的，每个威胁参与者都提供自己独特的API密钥，以方便入侵。

While the goal of the campaign is to deploy Monero mining malware by remotely compromising the devices via brute-force attacks, the researchers connected the gang to at least two DDoS botnets, including a Demonbot variant called chernobyl and a Perl IRC bot, with the XMRig mining payload hosted on a domain named mexalz[.]us since February 2021.

罗马尼亚网络安全技术公司表示，它于2021年5月开始调查该组织的敌对在线活动，导致随后发现对手的攻击基础设施和工具包。

该组织还因依赖一系列模糊处理技巧而闻名，这些技巧使他们能够躲过雷达。为此，Bash脚本是用shell脚本编译器（shc）编译的，攻击链被发现利用Discord将信息报告回其控制的通道，这种技术在用于指挥和控制通信和规避安全的恶意参与者中越来越常见。

使用Discord作为数据过滤平台也免除了威胁参与者托管自己的命令和控制服务器的需要，更不用说支持创建以买卖恶意软件源代码和服务为中心的社区。

研究人员说：“黑客追求薄弱的SSH认证并不罕见。”。“安全方面最大的问题之一是默认用户名和密码，或者黑客可以用蛮力轻松克服的弱凭据。棘手的部分不一定是强制使用这些凭据，而是以一种让攻击者不被发现的方式进行。”