网络安全研究人员发现了一种新的恶意软件活动,该活动针对公开暴露的 Docker API 端点,旨在提供加密货币矿工和其他有效载荷。
云分析平台Datadog在上周发布的一份报告中表示,部署的工具包括一个能够下载和执行更多恶意程序的远程访问工具,以及一个通过SSH传播恶意软件的实用程序。
对该活动的分析发现,该活动与之前称为 Spinning YARN 的活动在战术上存在重叠,该活动针对配置错误的 Apache Hadoop YARN、Docker、Atlassian Confluence 和 Redis 服务进行加密劫持。
攻击开始时,威胁参与者将端口暴露的 Docker 服务器(端口号 2375)归零,以启动一系列步骤,从侦察和权限升级开始,然后进入利用阶段。
通过执行名为“vurl”的 shell 脚本,从对手控制的基础架构中检索有效负载。这包括另一个名为“b.sh”的 shell 脚本,该脚本又打包了一个名为“vurl”的 Base64 编码二进制文件,并且还负责获取和启动第三个称为“ar.sh”(或“ai.sh”)的 shell 脚本。
“['b.sh'] 脚本将此二进制文件解码并提取到 /usr/bin/vurl,覆盖现有的 shell 脚本版本,”安全研究员 Matt Muir 说。“这个二进制文件与shell脚本版本的不同之处在于它使用了硬编码的[命令和控制]域。
shell 脚本“ar.sh”执行许多操作,包括设置工作目录、安装工具以扫描互联网以查找易受攻击的主机、禁用防火墙以及最终获取下一阶段的有效负载,称为“chkstart”。
用于加密货币挖掘的 Docker API
像 vurl 这样的 Golang 二进制文件,其主要目标是配置主机以进行远程访问并从远程服务器获取其他工具,包括“m.tar”和“top”,后者是 XMRig 矿工。
“在最初的 Spinning YARN 活动中,chkstart 的大部分功能都是由 shell 脚本处理的,”Muir 解释道。“将此功能移植到 Go 代码中可能表明攻击者正试图使分析过程复杂化,因为对编译代码的静态分析比 shell 脚本要困难得多。
与“chkstart”一起下载的还有另外两个有效载荷,称为exeremo,用于横向移动到更多主机并传播感染,以及fkoths,一个基于Go的ELF二进制文件,用于清除恶意活动的痕迹并抵制分析工作。
“Exeremo”还设计用于删除一个 shell 脚本(“s.sh”),该脚本负责安装各种扫描工具,如 pnscan、masscan 和自定义 Docker 扫描程序 (“sd/httpd”) 来标记易受攻击的系统。
“Spinning YARN 活动的这次更新表明,他们愿意继续攻击配置错误的 Docker 主机进行初始访问,”Muir 说。“该活动背后的威胁行为者通过将功能移植到 Go 继续迭代已部署的有效载荷,这可能表明试图阻碍分析过程,或者指向对多架构构建的实验。”
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。 |
END
原文始发于微信公众号(信息安全大事件):新的恶意软件针对公开的 Docker API 进行加密货币挖掘
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论