Bleeping Computer 网站披露,Lemon_Duck 僵尸网络运营商正在进行大规模 Monero 加密挖矿活动,linux 服务器上的 Docker API 成为其主要攻击目标 。
文章插图
近些年,安全性差或配置错误的 Docker 系统,一直受到加密团伙持续威胁,发生了多此大规模的网络攻击活动 。其中 Lemon_Duck 尤为猖獗,该团伙之前一直专注利用脆弱的微软 Exchange 服务器,以及通过 SSH 暴力攻击针对 Linux 机器、易受 SMBGhost 影响的 windows 系统和运行 redis 和 Hadoop 实例的服务器 。
根据 Crowdstrike 发布的报告来看,目前正在进行的 Lemon_Duck 挖矿活动,背后的威胁攻击者正在将其钱包隐藏在代理池后面 。
活动细节网络安全人员研究发现,Lemon_Duck 能够访问暴露的 Docker API,并运行恶意容器获取一个伪装成 PNG 图像的 Bash 脚本 。
文章插图
添加恶意cronjob
之后,有效负载在容器中创建一个 cronjob,下载执行以下操作的 Bash 文件 (a.asp):
根据已知的矿池、竞争的加密组等的名称来杀死进程 。
杀死 crond、sshd 和 syslog 等守护进程 。
删除已知的危害指标(IOC)文件路径 。
关闭与已知属于竞争性加密集团的 C2 的网络连接 。
停用阿里云的监控服务,保护实例不受风险活动的影响 。
文章插图
禁用阿里云监控
值得一提的是,禁用阿里云服务中的保护功能,在 2021 年 11 月的某次加密采矿恶意软件中已经被研究人员观察到 。
执行上述操作后,Bash 脚本会下载并运行加密采矿工具 XMRig 以及一个配置文件,将攻击者的钱包隐藏在代理池后面 。
在最初被感染机器被设置为挖矿后,Lemon_Duck 试图通过利用文件系统上的 SSH 密钥进行横向移动,如果能够成功的话,攻击者就用可以重复同样的感染过程 。
文章插图
在文件系统上搜索 SSH 密钥
遏制Docker威胁Lemon_Duck 恶意加密挖矿活动披露的同时,思科 Talos 报告了 TeamTNT 的一个活动,据悉,该活动也针对亚马逊网络服务上暴露的 Docker API 实例 。
TeamTNT 组织试图禁用云安全服务以逃避检测,并尽可能长时间地挖掘 Monero、比特币和以太币 。
现阶段,安全配置 Docker API 部署势在必行,管理员应该从检查平台的最佳实践和针对其配置的安全建议开始,保护容器安全性 。此外,对所有容器设置资源消耗限制,实行严格的图像认证政策,并执行最小特权原则 。
参考文章:
https://www.bleepingcomputer.com/news/security/docker-servers-hacked-in-ongoing-cryptomining-malware-campaign/
【挖矿病毒“盯上”了 Docker 服务器】
推荐阅读
- “大辞职”催生了AI时代的数字化工人
- 翡翠|和田玉市场,还有“漏”可捡吗,看看还有机会吗?
- 早春正是上火“好时节” 预防需有正确方法
- 春天是防近视的最佳季节 近视要注意8个要点
- 春季肌肤也会干燥 保湿可轻松应对“倒春寒”
- 雷蛇|“电竞第一股”雷蛇将从港交所退市:以每股2.82港元私有化
- |我已经记不清自己“打龟”了多少次,但还总想着去抛一竿……
- 电影|《奇异博士2》因“两个妈妈”遭禁映 15岁演员被网暴
- 慈禧怎么能掌控清朝几十年,清朝如果没有慈禧
- 化学实验|女高材生制售猫药治绝症被刑拘 猫版“药神”走上歧途:律师解读