在过去几年中,加密货币的快速发展导致了加密货币价格的飙升。这也导致了网络攻击者寻找快速获取财富的机会,加密货币挖矿活动也随之上升。根据2021年11月29日公布的Google Threat Horizon报告,86%的受感染Google Cloud案例被用来进行加密货币挖掘。
CrowdStrike Cloud Threat Research精英团队发现,LemonDuck正在使用Docker在Linux服务平台上进行加密货币挖掘。该广告宣传系列目前处于激活状态。
LemonDuck是一个知名的挖矿僵尸网络,它使用ProxyLogon以及应用EternalBlue、 BlueKeep等进攻Microsoft Exchange网络服务器进行加密货币挖掘,并提升管理权限,横着挪动。该僵尸网络尝试根据各种与之同时进行的操作来将其劳动货币化安置,以挖掘像Monero等加密货币。
什么是Docker API泄露?
Docker是一个服务平台,用于构建、运行和管理方法容器化工作载荷。Docker提供了许多API来协助开发人员完成自动化技术,这种API可以采用本地Linux tcp协议或xinetd(默认设置端口号为2375)提供。由于Docker主要用于在云间运作容器工作载荷,因此在配备异常的云案例中,Docker API极有可能暴露给互联网技术。随后,网络攻击者可以使用此API在其控制的玻璃容器内运行加密货币挖矿。除此之外,网络攻击者可以通过滥用管理权限和不正确的配备来躲避已经运行的容器,还可以利用运行容器时发现的多个系统漏洞,如Docker、Containerd和CRI-O。
Cr8escape是CrowdStrike在CRI-O中发现的这种漏洞的一个实例。
LemonDuck对Docker的基本攻击
LemonDuck以公布的Docker API为总体目标以获得原始访问限制。它利用自定义的Docker ENTRYPOINT免费下载装扮成Bash脚本制作的“core.png”位图文件,运行故意的容器。在图1中,您可以看到原始的故意通道点。
LemonDuck是一个平台的加密货币挖掘僵尸网络,它的总体目标是在Linux系统软件上使用Docker进行加密货币挖掘,”CrowdStrike在一份新报告中说。“它利用对阿里云的监控服务并禁止使用它来躲避检验。”
LemonDuck以攻击Windows和Linux环境而闻名,并旨在利用服务器资源来挖掘Monero。但是,它也可以进行凭据窃取、横向运动,并部署附加有效载荷以进行后续活动。
“它使用广泛的传播方式-钓鱼电子邮件、漏洞扫描、USB设备、暴力破解密码等-它已经显示出它可以迅速利用新闻报道、事件或新系统漏洞的推送来进行合理有效的活动,”微软公司在去年7月的恶意软件报告中介绍了该恶意软件。
今年初,涉及LemonDuck的攻击链利用当时新修复的Exchange Server漏洞来攻击过时的Windows设备,然后免费下载后门和信息内容窃取程序,包括Ramnit。
CrowdStrike发现,最新的优惠运用了曝露的Docker API作为原始浏览空间向量,并使用它来运行一个故意的容器来查找源自虚拟服务器的“伪装”PNG位图文件的Bash shell脚本文件。
该网络信息安全公司强调,对历史时间数据的分析说明,至少从2021年1月至今,使用LemonDuck相关域的类似位图文件安全泄漏漏洞已被攻击者利用。
dropper文档对于攻击至关重要,shell脚本下载特定的有效载荷,然后杀死竞争过程,禁止使用阿里云的监控服务,并最终免费下载和运行XMRig加密货币矿工。
随着云案例变得越来越普遍,成为恶意加密货币挖掘活动的温床,调查报告着重于维护容器免遭所有软件供应链管理潜在风险的重要性。
TeamTNT针对AWS、阿里云
思科交换机Talos发布了一个名为TeamTNT的网络诈骗机构的工具箱,该机构历史上曾在云基础设施中进行数据加密挟持和植入后门。
据悉,该恶意软件有效负载已针对此前公布的措施进行了更改,重点针对Amazon Web Services(AWS),同时致力于挖掘加密货币、持续性、横向移动和抵制互联网安全解决方案。“被安全科技企业查出来的互联网犯罪嫌疑人需要升级她们的软件才能再次取得运行成功的机会,”Talos研究者DarinSmith说。
“TeamTNT使用的专用工具表明,互联网犯罪嫌疑人越来越习惯于攻击Docker、Kubernetes和公共云服务提供商等现代环境,而其他互联网犯罪嫌疑人传统上会防止这种环境,而是致力于内部基
