据悉,跨平台加密货币挖掘僵尸网络LemonDuck正在针对开源应用容器引擎Docker,以在Linux系统上挖掘加密货币。
美国网络安全技术公司CrowdStrike在一份新报告中表示,LemonDuck通过使用隐藏钱包地址的代理池来进行匿名挖掘,并通过瞄准和禁用阿里云的监控服务来逃避检测。
LemonDuck以攻击Windows和Linux环境而出名,主要用于滥用系统资源来挖掘门罗币。但是它也能够进行盗取凭证、横向移动,并为后续活动部署额外的有效载荷。
微软在去年7月的恶意软件技术文章中详细介绍了该恶意软件,它使用网络钓鱼电子邮件、漏洞利用、USB 设备、暴力破解等广泛的传播机制,可以快速利用新闻事件或新漏洞的发布来开展活动。
2021年初,涉及LemonDuck的攻击链利用当时新修补的Exchange Server漏洞,获取对Windows机器的访问权限,然后下载后门和信息窃取程序,包括Ramnit木马。
美国网络安全技术公司CrowdStrike发现的最新活动利用Docker API作为初始访问载体,来运行恶意容器,检索伪装成来自远程服务器的无害PNG图像文件的Bash shell脚本文件。该网络安全公司还指出,历史数据表明,至少从2021年1月起,威胁行为者就开始利用LemonDuck相关域上托管的图像文件来下载程序。
dropper文件是发起攻击的关键,shell脚本下载实际的有效载荷,然后杀死竞争进程,禁用阿里云的监控服务,最后下载并运行XMRig门罗币挖矿软件。
随着受损的云实例成为非法加密货币挖掘活动的温床,该调查结果强调了在整个软件供应链中保护容器免受潜在风险的必要性。
据说这些恶意软件有效负载已针对先前的公开披露进行了修改,主要针对亚马逊云计算服务 AWS,同时专注于加密货币挖掘、横向移动和禁用云安全解决方案等。
Talos研究员Darin Smith表示,被安全研究人员发现的网络罪犯必须更新他们的工具才能继续成功运。TeamTNT 使用的工具表明,网络犯罪分子越来越习惯于攻击Docker、Kubernetes和公共云提供商等现代环境,而其他网络犯罪分子通常会避开这些环境。
该漏洞试图利用自定义web shell来部署加密货币挖掘程序,但必须先关闭防火墙并终止其他相关进程。
2022.04.23
2022.04.22
2022.04.22
注:本文由E安全编译报道,转载请联系授权并注明来源。
原文始发于微信公众号(E安全):警惕!僵尸网络正通过阿里云、AWS、Docker进行挖矿
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论