加密挖矿活动采用新型规避技术攻击Docker环境

攻击者从Docker Hub拉取名为kazutod/tene:ten的镜像启动容器展开攻击链。Teneo网络允许用户通过运行社区节点（从Facebook、X、Reddit和TikTok等平台抓取公开数据）赚取奖励积分（Teneo Points），这些积分可兑换为$TENEO代币。

研究人员使用Docker工具将恶意镜像保存为tar文件进行分析，发现其采用OCI格式——内容以分层形式存储，每层均为附带JSON元数据的tar文件，而非传统文件系统。"通过简单命令即可将所有层级解压至单一目录，还原容器文件系统原貌。"Darktrace报告指出。

镜像中的ten.py脚本采用多层base64编码、zlib压缩和字符串反转进行深度混淆。脚本需经过63次迭代解码才能暴露最终恶意代码，但研究人员表示这种复杂混淆仅能阻挡初级分析者，专业分析仍可通过自动化工具轻松破解。

该脚本会连接teneo.pro域名，但并非执行数据抓取，而是发送虚假存活信号以骗取"Teneo Points"。这种手法能有效规避针对XMRig的传统加密劫持检测技术。攻击者DockerHub个人资料显示其曾滥用其他去中心化计算网络，但受限于Teneo等私有代币的封闭性，实际收益尚难评估。

研究人员在攻击者最新容器中发现其运行Nexus网络客户端，试图通过分布式零知识计算任务获利。报告强调："传统加密劫持通常依赖高检测率的XMRig，攻击者正转向替代性获利方式。由于私有代币缺乏公开数据，既无法将用户ID映射至钱包地址，也难以测算攻击者实际收益。"

原文始发于微信公众号（黑猫安全）：加密挖矿活动采用新型规避技术攻击Docker环境