新型自传播恶意软件感染Docker容器以挖掘Dero加密货币
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
不安全的Docker API实例成为恶意软件攻击目标,攻击者利用其进行Dero加密货币挖矿,入侵容器并创建僵尸网络,扩散至其他Docker实例。攻击链包括伪装成合法nginx的恶意软件和Dero矿机,最终目标是执行Dero挖矿程序。
🎯
关键要点
- 不安全的Docker API实例成为恶意软件攻击目标,专门挖掘Dero加密货币。
- 攻击者利用暴露的Docker API入侵容器,创建加密劫持网络。
- 攻击链包含伪装成合法nginx的恶意软件和Dero矿机,均采用Golang开发。
- 传播恶意软件记录运行活动,生成随机IPv4子网,寻找易受攻击的Docker实例。
- 恶意软件在容器内安装masscan和docker.io,以便与Docker守护进程交互。
- 为实现持久化,恶意软件在shell登录时自动启动,并感染基于Ubuntu的容器。
- 攻击目标是执行Dero加密货币挖矿程序,与CrowdStrike披露的活动存在关联。
- AhnLab安全情报中心披露了另一攻击活动,涉及门罗币矿机和新型后门。
- 该后门使用PyBitmessage协议进行指令处理,具有匿名性和去中心化特征。
- 用户应避免从未知或不可信来源下载文件,以防止被攻击。
❓
延伸问答
什么是新型自传播恶意软件的主要目标?
新型自传播恶意软件的主要目标是感染不安全的Docker API实例,以挖掘Dero加密货币。
攻击者是如何利用Docker API进行攻击的?
攻击者利用暴露的Docker API入侵容器,创建加密劫持网络,并扩散至其他Docker实例。
该恶意软件的传播机制是怎样的?
恶意软件记录运行活动,生成随机IPv4子网,寻找易受攻击的Docker实例进行入侵。
恶意软件如何实现持久化?
恶意软件通过将二进制文件添加至'/root/.bash_aliases',确保在shell登录时自动启动。
该恶意软件与其他攻击活动有什么关联?
该恶意软件的活动与CrowdStrike披露的针对Kubernetes集群的Dero挖矿活动存在关联。
用户如何防止被这种恶意软件攻击?
用户应避免从未知或不可信来源下载文件,以防止被攻击。
➡️
