在名为“Commando Cat”的 复杂加密劫持活动中，暴露的Docker API 端点正在通过互联网受到攻击。

“该行动使用了Commando 项目 构建的安全容器 ，” Cado Security 的 安全研究人员解释道。“攻击者已经找到了一种方法来逃离这个容器并在 Docker 主机上启动任意有效负载。”

该活动预计将从 2024 年初开始活跃。这是过去几个月内发现的第二起此类活动。一月中旬，专家们发现了另一群针对易受攻击的 Docker 主机的攻击，目的是部署XMRig cryptominer和 9Hits Viewer 软件。

该操作使用 Docker 作为初始访问向量，从攻击者的服务器传递一组相互依赖的恶意软件。该服务器负责维护系统中的永久存在、安装后门、窃取云服务提供商的凭据并直接启动加密货币挖矿程序。

然后，获得的对易受攻击的 Docker 实例的访问权限将用于使用 open Commando 工具部署良性容器，并执行允许您使用 chroot“突破”容器的恶意命令。

它还执行一系列检查，看看受感染的系统上是否存在名为“sys-kernel-debugger”、“gsc”、“c3pool_miner”和“dockercache”的活动服务。仅当此检查成功时，下一阶段才会开始，并涉及从攻击者的 C&C 服务器获取其他恶意软件。

由此产生的程序中有一个后门脚本“user.sh”，能够添加 SSH 密钥并使用攻击者已知的密码和超级用户权限创建虚假用户。脚本“tshd.sh”、“gsc.sh”和“aws.sh”也被提供来安装后门和窃取凭证。

攻击以以 Base64 编码的脚本形式部署另一个有效负载而结束，该有效负载安装了 XMRig 加密货币矿工，之前已从受感染的计算机中删除了竞争矿工。

尽管已检测到与 TeamTNT 加密劫持者组织的命令服务器的脚本和 IP 地址的交叉点，但威胁的确切来源仍然未知。也许我们正在谈论一个模仿团体。

研究人员表示，“这种恶意软件集凭证窃贼、隐形后门和加密货币挖矿功能为一体。” 这使其成为最大限度地利用受感染机器的资源的通用工具。