概括
什么是暴露的 Docker API?
通过 Docker 进行初步攻击
LemonDuck 以公开的 Docker API 为目标以获取初始访问权限。它通过使用自定义 Docker ENTRYPOINT 下载伪装成 Bash 脚本的“core.png”图像文件,在暴露的 Docker API 上运行恶意容器。在图 1 中,您可以看到初始的恶意入口点。
LemonDuck 是一个跨平台的加密货币挖掘僵尸网络,它的目标是 Docker 在 Linux 系统上挖掘加密货币,作为积极的恶意软件活动的一部分。
“它通过使用隐藏钱包地址的代理池运行匿名挖矿操作,”CrowdStrike在一份新报告中说。“它通过针对阿里云的监控服务并禁用它来逃避检测。”
LemonDuck 以攻击 Windows 和 Linux 环境而著称,主要设计用于滥用系统资源来挖掘 Monero。但它也能够进行凭证盗窃、横向移动,并促进为后续活动部署额外的有效载荷。
“它使用广泛的传播机制——网络钓鱼电子邮件、漏洞利用、USB 设备、暴力破解等——它已经表明它可以快速利用新闻、事件或新漏洞的发布来开展有效的活动, ” 微软在去年 7 月的恶意软件技术文章中详细介绍了该恶意软件。
2021 年初,涉及 LemonDuck 的攻击链利用当时新修补的Exchange Server 漏洞来访问过时的 Windows 机器,然后下载后门和信息窃取程序,包括 Ramnit。
CrowdStrike 发现的最新活动利用暴露的 Docker API 作为初始访问向量,使用它来运行一个恶意容器来检索伪装成来自远程服务器的无害 PNG 图像文件的 Bash shell 脚本文件。
这家网络安全公司指出,对历史数据的分析表明,至少自 2021 年 1 月以来,托管在 LemonDuck 相关域上的类似图像文件释放器已被威胁者使用。
dropper 文件是发起攻击的关键,shell 脚本下载实际的有效载荷,然后杀死竞争进程,禁用阿里云的监控服务,最后下载并运行 XMRig 硬币矿工。
随着受损的云实例成为非法加密货币挖掘活动的温床,调查结果强调了保护容器免受整个软件供应链潜在风险的必要性。
TeamTNT瞄准AWS、阿里云
思科 Talos 披露了一个名为 TeamTNT 的网络犯罪组织的工具集,该组织有针对云基础设施进行加密劫持和放置后门的历史。
据说这些恶意软件有效负载已针对先前的公开披露进行了修改,主要针对亚马逊网络服务 (AWS),同时专注于加密货币挖掘、持久性、横向移动和禁用云安全解决方案。“被安全研究人员查出的网络犯罪分子必须更新他们的工具才能继续成功运作,”Talos 研究员 Darin Smith说。
“TeamTNT 使用的工具表明,网络犯罪分子越来越习惯于攻击 Docker、Kubernetes 和公共云提供商等现代环境,而其他网络犯罪分子传统上会避免这些环境,而是专注于内部部署或移动环境。”
Spring4Shell 用于加密货币挖掘
那不是全部。在另一个威胁参与者如何迅速将新披露的漏洞纳入其攻击的例子中,Spring Framework 中的关键远程代码执行漏洞 ( CVE-2022-22965 ) 已被武器化以部署加密货币矿工。
漏洞利用尝试使用自定义 Web shell 来部署加密货币矿工,但在关闭防火墙并终止其他虚拟货币矿工进程之前不会。
“这些加密货币矿工有可能影响大量用户,特别是因为 Spring 是用 Java 开发企业级应用程序最广泛使用的框架,”趋势科技研究人员 Nitesh Surana 和 Ashish Verma说。
原文始发于微信公众号(河南等级保护测评):小心!针对 Docker、AWS 和阿里云的加密货币矿工
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论