新型自我传播恶意软件感染Docker容器以挖掘Dero加密货币

前言

一种针对配置错误的Docker API实例的新型恶意软件活动正在将它们转变为挖掘Dero加密货币的僵尸网络。 该恶意软件具有蠕虫般的传播能力，能够感染其他暴露的Docker实例，并将它们纳入不断增长的挖矿机器人群体中。

此次攻击旨在挖掘 Dero 货币，其特点是具有蠕虫般的能力，可以将恶意软件传播到其他暴露的 Docker 实例，并将它们纳入不断增长的挖矿机器人群中。

研究分析

卡巴斯基表示，它观察到一个身份不明的威胁行为者通过利用不安全发布的 Docker API 获得了对正在运行的容器化基础设施的初始访问权限，然后利用该访问权限创建非法加密劫持网络。

安全研究员 Amged Wageh表示：“这导致正在运行的容器受到攻击，并创建新的容器，不仅劫持受害者的资源进行加密货币挖掘，还会发起外部攻击并传播到其他网络。”

攻击链由两个组件实现：一个传播恶意软件“nginx”，它会扫描互联网上暴露的Docker API，以及一个“云”Dero加密货币挖矿程序。这两个payload均使用Golang开发。使用“nginx”是为了故意伪装成合法的nginx Web服务器，从而避开监控。

传播恶意软件旨在记录恶意软件的运行活动，启动矿工，并进入无限循环以生成随机 IPv4 网络子网，以标记默认 API 端口 2375 打开并破坏它们的更易受攻击的 Docker 实例。

然后，它会检查与 IPv4 匹配的主机上的远程 dockerd 守护进程是否正在运行并响应。如果执行“docker -H PS”命令失败，“nginx”就会直接切换到列表中的下一个 IP 地址。

Wageh 解释道：“确认远程 dockerd 守护进程正在运行且响应正常后，nginx 会生成一个包含 12 个随机字符的容器名称，并使用该名称在远程目标上创建恶意容器。然后，nginx 会通过‘docker -H exec apt-get -yq update’更新软件包，为新容器的后续安装依赖项做好准备。”

随后，传播工具会在容器中安装 masscan 和 docker.io，以便恶意软件与 Docker 守护进程交互并执行外部扫描以感染其他网络，从而进一步传播恶意软件。在最后阶段，使用命令“docker -H cp -L /usr/bin/ :/usr/bin”将两个有效载荷“nginx”和“cloud”传输到容器中。

为了实现持久化，传输的“nginx”二进制文件会被添加到“/root/.bash_aliases”文件中，以确保它在shell登录时自动启动。该恶意软件的另一个重要特点是，它还能感染远程易受攻击主机上基于Ubuntu的运行容器。

该活动的最终目标是执行 Dero 加密货币矿工，该矿工基于 GitHub 上提供的开源 DeroHE CLI 矿工。

卡巴斯基评估认为，此次活动与CrowdStrike 于 2023 年 3 月记录的 Dero 挖矿活动存在重叠，该活动根据所使用的钱包地址和 Dero 节点地址，针对 Kubernetes 集群。Wiz于 2024 年 6 月标记了同一活动的后续迭代。

Wageh 表示：“容器环境遭到入侵，攻击者利用一个已知的挖矿程序和一个新样本，创建恶意容器并感染现有容器。这两个恶意植入程序无需 C2 服务器即可传播，这使得任何拥有容器化基础设施且以不安全的方式向互联网发布 Docker API 的网络都成为潜在目标。”

此次攻击发生之际，安实验室安全情报中心 (ASEC) 详细介绍了一项活动，该活动涉及部署门罗币挖矿机以及一个前所未见的后门，该后门使用PyBitmessage点对点 (P2P) 通信协议处理传入指令并将其作为 PowerShell 脚本执行。

目前尚不清楚该活动所使用的具体分发方法，但怀疑它伪装成流行软件的破解版本，因此用户必须避免从未知或不受信任的来源下载文件并坚持使用合法的分发渠道。

ASEC表示：“Bitmessage 协议是一种以匿名性和去中心化为设计理念的消息传递系统，其特点是可以防止中介机构拦截，并实现消息发送者和接收者的匿名化。”

威胁行为者利用在 Python 环境中实现此协议的 PyBitmessage 模块，以类似于常规 Web 流量的格式交换加密数据包。具体而言，C2 命令和控制消息隐藏在 Bitmessage 网络中真实用户发送的消息中。

安全建议

为防范此类攻击，建议Docker用户确保Docker API不被公开暴露，或为其配置强身份验证和TLS加密；使用防火墙限制对Docker API端口（如2375）的访问；并定期审查和加固容器安全配置。