BleepingComputer网站披露,Lemon_Duck僵尸网络运营者正在进行大规模门罗币加密挖矿活动,Linux服务器上的DockerAPI成为其主要攻击目标。近年来,安全性差或配置错误的Docker系统不断受到加密团伙的威胁,并发生多起大规模网络攻击事件。Lemon_Duck特别猖獗,该团伙之前专注于利用易受攻击的MicrosoftExchange服务器,并通过SSH对Linux机器、易受SMBGhost攻击的Windows系统以及运行Redis和Hadoop实例的服务器进行暴力破解。根据Crowdstrike发布的一份报告,正在进行的Lemon_Duck挖矿活动背后的威胁行为者将他们的钱包藏在代理池后面。活动详情网络安全研究人员的研究发现,Lemon_Duck能够访问暴露的DockerAPI并运行恶意容器以获取伪装成PNG图像的Bash脚本。添加恶意cronjob后,payload在容器中创建一个cronjob,下载一个Bash文件(a.asp),该文件执行以下操作:根据已知矿池名称、竞争加密组等终止进程。终止crond等守护进程、sshd和系统日志。删除已知的妥协指标(IOC)文件路径。关闭与已知属于竞争加密组的C2的网络连接。禁用阿里云的监控服务以保护实例免受风险活动的影响。禁用阿里云监控值得一提的是,研究人员于2021年11月在某加密挖矿恶意软件中观察到禁用阿里云服务中的保护功能。执行上述操作后,Bash脚本会下载并运行加密挖矿工具XMRig以及一个将攻击者的钱包隐藏在代理池后面的配置文件。在初始受感染机器设置为挖矿后,Lemon_Duck试图通过利用文件系统上的SSH密钥横向移动,如果成功,攻击者可以重复相同的感染过程。在文件系统上搜索SSH密钥以遏制Docker威胁Lemon_Duck的恶意加密挖矿活动披露与CiscoTalos报告TeamTNT的活动同时发生,据报道该活动还针对亚马逊网络服务上暴露的DockerAPI实例。TeamTNT小组试图禁用云安全服务以逃避检测并尽可能长时间地挖掘门罗币、比特币和以太坊。在此阶段,必须安全地配置DockerAPI部署,管理员应该首先检查平台的最佳实践和安全建议,以了解其配置以保护容器。此外,对所有容器设置资源消耗限制,执行严格的图像认证策略,并执行最小权限原则。参考文章:https://www.bleepingcomputer.com/news/security/docker-servers-hacked-in-ongoing-cryptomining-malware-campaign/
