ワシントン大学のセキュリティ研究者であるAndre DiMino氏は、複数のIPアドレスが、パッチが適用されたPHPの脆弱性を利用してLinuxサーバーの乗っ取りを試みていることに気づきました。
DiMinoは、攻撃者が実に巧妙で、PDFファイルに偽装したPerlスクリプトをダウンロードし、実行した後、削除する複数のコマンドを含むHTTP POSTリクエストを発行していることを発見しました。確実に成功させるために、攻撃者はcurl、fetch、lwp-getリクエストを使ってこれらのステップを繰り返しました。
Perlスクリプトは、管理者の耳目を避けているのではないかと推測され、一定期間休止するようにプログラムされています。最終的に、感染したマシンはリレーチャットチャンネルに接続し、別のスクリプトをダウンロードして実行します。
攻撃者は、ビットコインやプライムコインの採掘プログラム、DDoSツール、既知の脆弱性を持つ他のマシンのスキャンなど、複数のアプリケーションをサーバーにインストールしました。Linuxサーバーの人気に伴い、Windows PCと同様に攻撃者にとって魅力的なターゲットとなっています。
