Linux 恶意软件攻击配置不当的云服务器

攻击者利用四个新的 Golang payload 自动发现并利用易受攻击的主机以及一个反向 shell 和多个用户模式下的 rootkit 来隐藏踪迹。

在攻击Docker的活动中，威胁行动者使用一个命令产生新的容器并为服务器的的根目录创建绑定挂载，从而编写一个可执行文件，建立与攻击者命令和控制的连接并从中检索第一阶段的 payload。

该payload是一个shell脚本，可定义托管额外 payload 的C&C，检查是否存在某一工具并进行更名，如果不存在则安装并重命名该工具，判断根访问权限是否可用并基于此提取 payload。

攻击者还部署第二个 shell 脚本，用于交付 XMRig 挖矿机、脚本和多种工具包括用于发现主机的 “masscan”。该shell 脚本还删除了 shell 历史并通过禁用 SELinux 和其它函数以及卸载监控代理的方式削弱机器。该脚本还部署用户模式下的 rootkit “libprocesshider” 和 “diamorphine”来隐藏恶意进程。使用这些 rootkit 与最近观察到的针对 Redis 服务器的 Migo 恶意软件活动类似。

另外，该脚本还可插入受攻击者控制的 SSH 密钥并注册 system 服务以实现持久性、检索开源的 Golang 反向 shell 工具 Platypus、发现SSH密钥并通过SSH命令传播恶意软件以及部署额外的二进制。

部署在这些攻击中的 Golang payload 可使攻击者从 Ubuntu 或 Alpine 仓库中搜索 Docker 镜像并删除，识别和利用配置不当或易受攻击的Hadoop、Confluence、Docker和Redis 实例。

在针对 Confluence 服务器的攻击中，威胁行动者们利用的是一个严重的且已在2022年6月修复的RCE漏洞CVE-2022-26134。Cado 提到，“如此大规模的攻击活动展示了云和Linux 恶意软件开发人员可用的初始访问技术。很明显攻击者正在投入大量时间了解部署在云环境中的面向 web 的服务类型，跟进这些服务中所报告的漏洞并借此在目标环境中获得立足之地。”