国家计算机病毒应急处理中心通过对互联网的监测，发现名为“LoggerMiner”新型挖矿木马程序在云主机中传播，利用云主机上的ssh（用于本地主机和远程服务器之间进行加密地传输数据）账号信息对其他云主机进行攻击，目的是控制更多主机。该恶意程序还会尝试对云主机上的docker容器（开源的应用容器引擎）进行攻击。 “LoggerMiner”木马程序因其代码中大量使用“logger”字符串作为系统账号名、文件路径、通信域名等而得名。该木马程序能够利用ssh爆破感染其他云主机、修改ssh配置、关闭安全设置、留置后门，目的是方便攻击者远程登录，还能够通过发送恶意命令感染docker容器。“LoggerMiner” 还具有卸载云服务器安全软件、结束其它挖矿木马进程、删除其它挖矿木马创建的帐户、添加自己的新帐号、停止系统日志、修改系统安全设置、安装定时任务实现持久化等功能。 建议我国云主机用户采取以下措施予以防范，一是ssh禁用root远程登录并修改ssh端口；二是设置允许远程访问的IP白名单；三是设置ssh禁止短时间内登录失败次数较多的IP登录。

同时发现DDG挖矿木马最新变种v5028，较之前的变种v5023，新版本的DDG挖矿木马更新了C&C地址及挖矿地址，同时弃用了传统的i.sh驻留方式。该木马在短短一个月时间已有大量拦截数据，且每日攻击次数还呈递增的趋势。自2020年开始，DDG已开始启用v5版本号，从以往的Memberlist开源P2P通信方式改为了自研的P2P通信方式。在v5023中有较大更新，木马会在 /var/lib/ 或 /usr/local/下生成随机名目录，用于存放 P2P通信中获取到的文件及数据，以及新增jobs配置文件来进行一些较高级的清除异己操作。本次DDG家族为最新的5028版本，其恶意组件在/var/lib/的一个随机名目录下。借助P2P僵尸网络，DDG挖矿木马运行后会随机从其他受感染主机中拉取slave或jobs配置文件，slave里配置的是攻击组件的信息，jobs配置的是清除异己家族的信息。 建议用户不要运行未知来源的软件。同时提高安全意识，安装防病毒软件，及时为操作系统、常用软件等打好补丁，以免受到该恶意程序的危害。