據(jù)悉��,跨平臺加密貨幣挖掘僵尸網(wǎng)絡LemonDuck正在針對開源應用容器引擎Docker���,以在Linux系統(tǒng)上挖掘加密貨幣。
美國網(wǎng)絡安全技術公司CrowdStrike在一份新報告中表示���,LemonDuck通過使用隱藏錢包地址的代理池來進行匿名挖掘�����,并通過瞄準和禁用阿里云的監(jiān)控服務來逃避檢測�����。
LemonDuck以攻擊Windows和Linux環(huán)境而出名���,主要用于濫用系統(tǒng)資源來挖掘門羅幣��。但是它也能夠進行盜取憑證���、橫向移動,并為后續(xù)活動部署額外的有效載荷�。
微軟在去年7月的惡意軟件技術文章中詳細介紹了該惡意軟件,它使用網(wǎng)絡釣魚電子郵件���、漏洞利用���、USB 設備、暴力破解等廣泛的傳播機制�,可以快速利用新聞事件或新漏洞的發(fā)布來開展活動。
2021年初,涉及LemonDuck的攻擊鏈利用當時新修補的Exchange Server漏洞�����,獲取對Windows機器的訪問權限���,然后下載后門和信息竊取程序����,包括Ramnit木馬���。
美國網(wǎng)絡安全技術公司CrowdStrike發(fā)現(xiàn)的最新活動利用Docker API作為初始訪問載體����,來運行惡意容器�,檢索偽裝成來自遠程服務器的無害PNG圖像文件的Bash shell腳本文件。該網(wǎng)絡安全公司還指出����,歷史數(shù)據(jù)表明,至少從2021年1月起,威脅行為者就開始利用LemonDuck相關域上托管的圖像文件來下載程序���。
dropper文件是發(fā)起攻擊的關鍵,shell腳本下載實際的有效載荷��,然后殺死競爭進程,禁用阿里云的監(jiān)控服務�,最后下載并運行XMRig門羅幣挖礦軟件。
隨著受損的云實例成為非法加密貨幣挖掘活動的溫床���,該調(diào)查結果強調(diào)了在整個軟件供應鏈中保護容器免受潛在風險的必要性����。
TeamTNT瞄準AWS和阿里云
思科網(wǎng)絡安全研究部門Talos披露了一個名為TeamTNT的網(wǎng)絡犯罪組織的工具集����,該組織曾針對云基礎設施進行加密劫持和放置后門。
據(jù)說這些惡意軟件有效負載已針對先前的公開披露進行了修改�����,主要針對亞馬遜云計算服務 AWS�,同時專注于加密貨幣挖掘、橫向移動和禁用云安全解決方案等���。
Talos研究員Darin Smith表示��,被安全研究人員發(fā)現(xiàn)的網(wǎng)絡罪犯必須更新他們的工具才能繼續(xù)成功運�。TeamTNT 使用的工具表明,網(wǎng)絡犯罪分子越來越習慣于攻擊Docker�、Kubernetes和公共云提供商等現(xiàn)代環(huán)境,而其他網(wǎng)絡犯罪分子通常會避開這些環(huán)境�。
Spring4Shell被用于加密貨幣挖掘
在另一個威脅參與者迅速將新披露的漏洞用于攻擊的例子中,Spring Framework中的關鍵遠程代碼執(zhí)行漏洞 (CVE-2022-22965)已被用于部署加密貨幣挖掘程序��。
該漏洞試圖利用自定義web shell來部署加密貨幣挖掘程序�����,但必須先關閉防火墻并終止其他相關進程��。
趨勢科技研究人員Nitesh Surana和Ashish Verma說:“這些加密貨幣挖掘程序有可能影響大量用戶�����,因為Spring是在開發(fā)企業(yè)級應用程序時使用最廣泛的框架��������!
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
