小心!针对 Docker、AWS 和阿里云的加密货币矿工

admin 2022年4月25日02:16:37安全新闻评论32 views2137字阅读7分7秒阅读模式

小心!针对 Docker、AWS 和阿里云的加密货币矿工概括

在过去的几年里,最近的加密货币繁荣推动了加密货币价格的飙升。结果,随着攻击者寻求立即获得金钱补偿,加密货币挖矿活动显着增加。根据 2021 年 11 月 29 日发布的Google Threat Horizon 报告,86% 的受感染 Google Cloud 实例被用于执行加密货币挖掘。
CrowdStrike Cloud Threat Research 团队检测到LemonDuck针对Docker在 Linux 平台上挖掘加密货币。此广告系列目前处于活动状态。 
LemonDuck 是一个著名的加密挖矿僵尸网络,它通过ProxyLogon和使用EternalBlueBlueKeep等攻击 Microsoft Exchange 服务器来挖掘加密货币、提升权限并在受感染的网络中横向移动。这个僵尸网络试图通过各种同时进行的活动来将其努力货币化,以挖掘像Monero这样的加密货币。

什么是暴露的 Docker API?

Docker是用于构建、运行和管理容器化工作负载的平台。Docker 提供了许多 API 来帮助开发人员实现自动化,这些 API 可以使用本地Linux 套接字或守护进程(默认端口为 2375)提供。
由于 Docker 主要用于在云中运行容器工作负载,因此配置错误的云实例可能会将 Docker API 暴露给互联网。然后攻击者可以利用此 API 在攻击者控制的容器内运行加密货币矿工。此外,攻击者可以通过滥用权限和错误配置来逃避正在运行的容器,还可以利用容器运行时中发现的多个漏洞,如DockerContainerdCRI-O
Cr8escape是 CrowdStrike 在容器运行时CRI-O中发现的此类漏洞的一个示例

小心!针对 Docker、AWS 和阿里云的加密货币矿工


通过 Docker 进行初步攻击

LemonDuck 以公开的 Docker API 为目标以获取初始访问权限。它通过使用自定义 Docker ENTRYPOINT 下载伪装成 Bash 脚本的“core.png”图像文件,在暴露的 Docker API 上运行恶意容器。在图 1 中,您可以看到初始的恶意入口点。

小心!针对 Docker、AWS 和阿里云的加密货币矿工



LemonDuck 是一个跨平台的加密货币挖掘僵尸网络,它的目标是 Docker 在 Linux 系统上挖掘加密货币,作为积极的恶意软件活动的一部分。

“它通过使用隐藏钱包地址的代理池运行匿名挖矿操作,”CrowdStrike在一份新报告中说。“它通过针对阿里云的监控服务并禁用它来逃避检测。”

LemonDuck 以攻击 Windows 和 Linux 环境而著称,主要设计用于滥用系统资源来挖掘 Monero。但它也能够进行凭证盗窃、横向移动,并促进为后续活动部署额外的有效载荷。

“它使用广泛的传播机制——网络钓鱼电子邮件、漏洞利用、USB 设备、暴力破解等——它已经表明它可以快速利用新闻、事件或新漏洞的发布来开展有效的活动, ” 微软在去年 7 月的恶意软件技术文章中详细介绍了该恶意软件。

2021 年初,涉及 LemonDuck 的攻击链利用当时新修补的Exchange Server 漏洞来访问过时的 Windows 机器,然后下载后门和信息窃取程序,包括 Ramnit。

小心!针对 Docker、AWS 和阿里云的加密货币矿工


CrowdStrike 发现的最新活动利用暴露的 Docker API 作为初始访问向量,使用它来运行一个恶意容器来检索伪装成来自远程服务器的无害 PNG 图像文件的 Bash shell 脚本文件。

这家网络安全公司指出,对历史数据的分析表明,至少自 2021 年 1 月以来,托管在 LemonDuck 相关域上的类似图像文件释放器已被威胁者使用。

dropper 文件是发起攻击的关键,shell 脚本下载实际的有效载荷,然后杀死竞争进程,禁用阿里云的监控服务,最后下载并运行 XMRig 硬币矿工。

随着受损的云实例成为非法加密货币挖掘活动的温床,调查结果强调了保护容器免受整个软件供应链潜在风险的必要性。

TeamTNT瞄准AWS、阿里云

思科 Talos 披露了一个名为 TeamTNT 的网络犯罪组织的工具集,该组织有针对云基础设施进行加密劫持和放置后门的历史。

据说这些恶意软件有效负载已针对先前的公开披露进行了修改,主要针对亚马逊网络服务 (AWS),同时专注于加密货币挖掘、持久性、横向移动和禁用云安全解决方案。“被安全研究人员查出的网络犯罪分子必须更新他们的工具才能继续成功运作,”Talos 研究员 Darin Smith

“TeamTNT 使用的工具表明,网络犯罪分子越来越习惯于攻击 Docker、Kubernetes 和公共云提供商等现代环境,而其他网络犯罪分子传统上会避免这些环境,而是专注于内部部署或移动环境。”

Spring4Shell 用于加密货币挖掘

那不是全部。在另一个威胁参与者如何迅速将新披露的漏洞纳入其攻击的例子中,Spring Framework 中的关键远程代码执行漏洞 ( CVE-2022-22965 ) 已被武器化以部署加密货币矿工。

漏洞利用尝试使用自定义 Web shell 来部署加密货币矿工,但在关闭防火墙并终止其他虚拟货币矿工进程之前不会。

“这些加密货币矿工有可能影响大量用户,特别是因为 Spring 是用 Java 开发企业级应用程序最广泛使用的框架,”趋势科技研究人员 Nitesh Surana 和 Ashish Verma


原文始发于微信公众号(河南等级保护测评):小心!针对 Docker、AWS 和阿里云的加密货币矿工

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月25日02:16:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  小心!针对 Docker、AWS 和阿里云的加密货币矿工 http://cn-sec.com/archives/938211.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: