Сегодня 18 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Linux-вирус Perfctl заразил с 2021 года тысячи серверов и скрытно майнит на них криптовалюту

Обнаружено опасное вредоносное ПО Perfctl, которому удалось заразить несколько тысяч машин под управлением Linux. Вирус отличают скрытые механизмы работы, способность эксплуатировать широкий набор ошибок в конфигурации, а также большой ассортимент вредоносных действий, которые он может выполнять.

 Источник изображений: aquasec.com

Источник изображений: aquasec.com

Perfctl работает как минимум с 2021 года. Он устанавливается, эксплуатируя более 20 000 распространённых ошибок конфигурации, а значит, его потенциальными целями могут оказаться миллионы подключённых к интернету машин, говорят специалисты по вопросам кибербезопасности из компании Aqua Security. Вирус также может эксплуатировать уязвимость системы Apache RocketMQ за номером CVE-2023-33246 с рейтингом 10 из 10, которая была закрыта в прошлом году. Вредонос получил название Perfctl в честь компонента, который занимается скрытой добычей криптовалют, — имя составлено из названий средств мониторинга perf и ctl в Linux. Для вируса характерно использование имён процессов или файлов, идентичных или похожих на легитимные в Linux.

Вирус маскируется, прибегая и к множеству других трюков. Многие из своих компонентов он устанавливает как руткиты — особый класс вредоносов, способных скрывать своё присутствие от операционной системы и инструментов администрирования. Другие скрытые механизмы Perfctl:

  • приостановка поддающихся лёгкому обнаружению действий, когда пользователь входит в систему;
  • использование сокета Unix через Tor для внешней связи;
  • удаление двоичного файла после установки и последующий запуск в качестве фоновой службы;
  • манипуляции с процессом Linux pcap_loop, мешающие зафиксировать вредоносный трафик;
  • подавление ошибок mesg, пресекающее вывод предупреждения во время выполнения.

Вирус способен оставаться на заражённой машине после перезагрузок или попыток удаления основных компонентов. Для этого он может настроить среду во время входа пользователя и загрузиться раньше легитимных рабочих нагрузок, а также копировать себя из памяти в несколько мест на диске. Perfctl не только занимается майнингом криптовалюты, но и превращает машину в прокси-сервер, за доступ к которому хакеры взимают плату с тех, кто хочет оставаться анонимным. Кроме того, вирус служит бэкдором для установки вредоносов других семейств.

Воспользовавшись уязвимостью или ошибкой конфигурации, код эксплойта загружает основную полезную нагрузку с сервера, который был взломан ранее и превратился в канал распространения вирусов — в одном из случаев такая полезная нагрузка называлась «httpd». После выполнения файл копирует себя из памяти в новое место назначения в каталоге «/tmp», запускает его, удаляет исходный процесс и загруженный двоичный файл. Переместившись в каталог «/tmp», файл выполняется под другим именем, которое имитирует имя известного процесса Linux — в одном из случаев он получил название «sh», — оттуда он устанавливает локальный процесс управления и контроля, а также пытается получить права root, эксплуатируя уязвимость CVE-2021-4043 открытого мультимедийного фреймворка Gpac, которая была закрыта в 2021 году.

Вирус продолжает копировать себя из памяти в несколько других мест на диске, используя имена, которые отображаются как обычные системные файлы. Далее устанавливается множество популярных утилит Linux, модифицированных для работы в качестве руткитов, и майнер. Для передачи управления стороннему оператору Perfctl открывает сокет Unix, создаёт два каталога и сохраняет там данные, которые необходимые для его работы: события хоста, местоположение копий, имена процессов, журналы связи, токены и дополнительная информация. Все двоичные файлы пакуются, шифруются и удаляются — это помогает обходить защитные механизмы и препятствует попыткам обратной разработки вируса. Perfctl приостанавливает работу, обнаруживая присутствие пользователя в файлах btmp или utmp, а также блокирует конкурирующие вирусы, чтобы сохранять контроль над заражённой системой.

Число заражённых Perfctl машин, по подсчётам экспертов, измеряется тысячами, но количество уязвимых машин — на которых не установлен патч от CVE-2023-33246 или присутствует неправильная конфигурация — исчисляется миллионами. Объёмы добытой скрытными майнерами криптовалюты исследователи ещё не подсчитали. Есть много признаков заражения — в частности, необычные всплески загрузки процессора или внезапные замедления работы системы, особенно во время простоя. Чтобы предотвратить заражение, необходимо закрыть на машине уязвимость CVE-2023-33246 и исправить ошибки конфигурации, на которые указали специалисты Aqua Security.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
TikTok начала тестировать инструмент для выявления ИИ-дипфейков внешности пользователей 29 мин.
Ошибочка вышла: AWS выставила клиентам счета на миллиарды и триллионы долларов из-за проблем с биллингом 4 ч.
Новая статья: DOOM: The Dark Ages — Revelations. Без откровений. Рецензия 6 ч.
Nebius предложила партнёрам свои ИИ-технологии для развёртывания в сторонних ЦОД 6 ч.
Исследователи обнаружили вирус ClickLock для macOS, ворующий пароли и криптовалюту 7 ч.
На волне успеха: спустя неделю после релиза продажи Assassin’s Creed Black Flag Resynced взяли новую высоту 8 ч.
Американца арестовали по подозрению в краже криптовалюты через запрятанный в игры Steam вирус 9 ч.
Bethesda назвала Starfield «важной частью» своего будущего и намекнула на новое сюжетное дополнение в 2027 году 10 ч.
Открытые китайские ИИ-модели сократили отставание от передовых американских всего до четырёх месяцев 11 ч.
«Яндекс» улучшил поиск АЗС без очередей и оптимизировал построение маршрутов для экономии топлива 11 ч.
На фоне ИИ-бума ASML выдаст всем работникам премии в виде акций на сумму 20 тысяч евро 25 мин.
Meta готовится сдать Anthropic в аренду свой центр обработки данных в Джорджии за $10 млрд 31 мин.
Утечка подтвердила дизайн и характеристики широкого складного смартфона Samsung Galaxy Z Fold8 7 ч.
TSMC похвалилась успехами в разработке 1,4-нм техпроцесса A14 — он развивается быстрее N2 9 ч.
Caviar представила футбольный вариант грядущего Samsung Galaxy Z Fold8 Ultra за 799 000 рублей 9 ч.
Steam Machine с Windows оказалась немного быстрее, чем со SteamOS 11 ч.
Современной памяти не хватает: новые ПК всё чаще получают старые процессоры Intel и AMD 11 ч.
Разработана одежда, которая сама надевается на человека 11 ч.
Гонка за статус самой дорогой компании мира обострилась: Apple догоняет Nvidia и приближается к $5 трлн 11 ч.
Apple расширяет дело против OpenAI: компания заподозрила десятки бывших сотрудников 11 ч.