安全研究人员发现了一种针对易受攻击的 Docker 服务的新型网络攻击活动。这些攻击标志着第一个有记录的利用 9hits 应用程序作为有效负载的恶意软件案例的诞生。
Cado 安全实验室发现,该活动将两个容器部署到易受攻击的 Docker 实例 —— 一个标准 XMRig 挖矿程序和 9hits 查看器应用程序。后者用于在 9hits 平台上为攻击者生成积分。
9hits 是一个被称为“独特的网络流量解决方案”的平台,允许会员购买积分以进行网站流量交换。在此活动中,通常用于访问网站以换取积分的 9hits 查看器应用程序被恶意软件利用,使攻击者受益。
攻击首先由攻击者控制的服务器通过互联网在易受攻击的 Docker 主机上部署容器。虽然 Cado 研究人员无法访问该传播程序,但他们推测攻击者可能通过 Shodan 等平台发现了蜜罐。该传播器使用 Docker API 启动两个容器,从 Dockerhub 获取现成的镜像用于 9hits 和 XMRig 软件。
仔细检查有效负载操作后发现,9hits 容器运行带有会话令牌的脚本,允许应用程序通过 9hits 服务器进行身份验证并为攻击者赚取积分。XMRig 容器利用链接到攻击者动态 DNS 域的私人矿池来挖掘加密货币。
对受感染主机的影响是资源耗尽,XMRig 矿工消耗可用的 CPU 资源,而 9hits 应用程序则利用大量带宽、内存和任何剩余的 CPU。这可能会阻碍受感染服务器上的合法工作负载,并可能导致更严重的违规行为。
Cado 安全研究员 Nate Bill 表示,这一发现凸显了攻击者从受感染主机中获利的策略不断演变。它还强调暴露的 Docker 主机作为入口点的持续漏洞。
“由于 Docker 允许用户运行任意代码,因此保持其安全至关重要,以避免您的系统被用于恶意目的,” 公告中写道。
转自安全客,原文链接:https://www.anquanke.com/post/id/292769
封面来源于网络,如有侵权请联系删除