黑客利用配置错误的 YARN Docker Confluence Redis 服务器进行加密货币挖矿

威胁行为者将运行 Apache Hadoop YARN、Docker、Atlassian Confluence 和 Redis 服务的配置错误且易受攻击的服务器作为新兴恶意软件活动的一部分，旨在提供加密货币挖掘程序并生成用于持久远程访问的反向 shell。
Cado 安全研究员 Matt Muir 在与 Cado 分享的一份报告中表示：攻击者利用这些工具发布漏洞利用代码，利用常见的错误配置和 N 天漏洞，进行远程代码执行 (RCE) 攻击并感染新主机。
该活动被云安全公司命名为“Spinning YARN”，与 TeamTNT、WatchDog 和一个名为 Kiss-a-dog 的集群所造成的云攻击重叠。
这一切都从部署四个新颖的 Golang 有效负载开始，这些有效负载能够自动识别和利用易受影响的 Confluence、Docker、Hadoop YARN 和 Redis 主机。传播器实用程序利用masscan 或pnscan 来寻找这些服务。对于 Docker 的攻击，攻击者会生成一个容器并从其中逃逸到底层主机上。然后，初始访问为部署其他工具铺平了道路，以安装 libprocesshider 和 diamorphine 等 rootkit，以隐藏恶意进程，删除 Platypus 开源反向 shell 实用程序，并最终启动 XMRig 挖矿程序。
攻击者投入了大量时间来了解云环境中部署的面向网络的服务类型，及时了解这些服务中报告的漏洞，并利用这些知识在目标环境中站稳脚跟。
Uptycs 披露 8220 Gang 利用 Apache Log4j (CVE-2021-44228) 和 Atlassian Confluence Server and Data Center (CVE-2022-26134) 中的已知安全漏洞作为 2023 年 5 月针对云基础设施的攻击浪潮的一部分至 2024 年 2 月。

安全研究人员 Tejaswini Sandapolla 和 Shilpesh Trivedi 表示：通过利用互联网扫描易受攻击的应用程序，该组织识别了云系统的潜在入口点，利用未修补的漏洞获得未经授权的访问。
一旦进入内部，他们就会部署一系列先进的规避技术，展示出对如何导航和操纵云环境以发挥其优势的深刻理解。这包括禁用安全执行、修改防火墙规则和删除云安全服务，从而确保他们的恶意活动保持未被发现。
这些攻击针对的是 Windows 和 Linux 主机，旨在部署加密货币挖矿程序，但在此之前会采取一系列优先考虑隐秘和规避的步骤。且还发生了滥用主要用于人工智能（AI）解决方案的云服务来删除加密货币矿工以及托管恶意软件的事件。
HiddenLayer 去年指出：由于挖矿和人工智能都需要访问大量 GPU 处理能力，因此它们的基础硬件环境具有一定程度的可移植性。
Cado 在其 2023 年下半年云威胁调查报告中指出，威胁行为者越来越多地将目标瞄准需要专业技术知识才能利用的云服务，而加密劫持不再是唯一的动机。报告称：随着勒索软件家族的新 Linux 变体（例如 Abyss Locker）的发现，Linux 和 ESXi 系统上的勒索软件出现了令人担忧的趋势。云和 Linux 基础设施现在面临着更广泛的攻击。

喜欢朋友可以点点赞转发转发。

免责声明：本公众号不承担任何由于传播、利用本公众号所发布内容而造成的任何后果及法律责任。未经许可，不得转载。

原文始发于微信公众号（重生者安全团队）：黑客利用配置错误的 YARN Docker Confluence Redis 服务器进行加密货币挖矿