研究人员报告一种秘密的挖矿恶意程序感染了数千台运行 Linux 的系统。该恶意程序至少从 2021 年开始传播,它利用愈 2 万个常见错误配置感染系统,还能利用去年修复的 Apache RocketMQ 高危漏洞 CVE-2023-33426,其危险等级 10/10。研究人员将该恶意程序命名为 Perfctl,恶意程序作者为其程序进程起了一个与常见 Linux 进程相似的名字,组合了 perf Linux 监控工具和命令行工具 ctl。该恶意程序利用了多种方法防止其被检测出来,并确保具有持续感染能力,在机器重启或核心组件被删除后仍然能留在被感染设备上。它的主要功能是利用 CPU 挖掘加密货币,以及作为代理工具为付费用户中继网络流量,此外还可以作为安装其它恶意程序的后门。
https://www.wired.com/story/perfctl-stealthy-malware-infected-linux-systems/