在删除其他威胁参与者创建的用户后，高防cdn不限内容，参与者添加自己的用户，这是许多云目标加密盗贼的常见步骤。然而，与许多其他加密矿工不同的是，ddos云防御平台，基于web的ddos攻击与防御，该恶意软件将其用户帐户添加到sudoers列表中，使他们能够以root权限访问设备。

在设备上站稳脚跟后，黑客的脚本将利用远程系统进行攻击，并用恶意脚本和cryptominer感染远程系统。

更具体地说，较新的示例注释掉了防火墙规则创建功能（但它仍然存在），并继续删除网络扫描程序，以使用API相关端口映射其他主机。

此次攻击中扫描到的已知漏洞包括：

华为云是一项相对较新的服务，但这家网站防御ddos科技巨头声称它已经为300多万客户提供了服务。TrendMicro已将该活动通知华为，但他们尚未收到确认。

自今年年初以来，这些以云为目标的加密矿商一直在增加，只要加密价值不断飙升，参与者就会有动力让他们变得更强大，更难被发现。

演员们已经进行了进一步的篡改，以根据自动分析和检测工具集调整二进制文件的隐蔽性。

一个新版本的Linux加密挖掘恶意软件，以前在2020年用于攻击Docker容器，现在主要针对华为云等新的云服务提供商。

参与者安装Tor代理服务，以保护通信免受网络扫描检测和审查，并将所有连接通过Tor代理服务进行匿名化。

然而，新的恶意软件版本只针对云环境，目前正在查找并删除以前可能感染系统的任何其他加密劫持脚本。

为确保在设备上保持持久性，攻击者使用自己的ssh RSA密钥执行系统修改，ddos防御品牌，并将文件权限更改为锁定状态。

当感染Linux系统时，恶意coinminer将执行以下步骤，包括删除竞争性加密挖掘恶意软件分销商创建的用户。

无论您是否部署实例，请记住，运行漏洞评估和恶意软件扫描可能不足以抵御此攻击。您需要评估您的CSP的安全模型，并调整您的方法，以补充进一步的保护。

TrendMicro的研究人员对新活动进行了分析，sdkddos节点防御，他们解释了恶意软件是如何在保留原有功能的同时发展出新功能的。

这意味着，即使其他参与者在未来获得设备访问权限，他们也无法完全控制易受攻击的机器。

丢弃的二进制文件（"linux64_外壳"、"ff.sh"、"fczyo"、"xlinux"）具有一定程度的模糊性，TrendMicro已经看到UPX打包机已部署用于包装的迹象。