针对 Docker 服务的新型网络攻击活动被发现

阅读量70875

发布时间 : 2024-01-19 14:51:19

安全研究人员发现了一种针对易受攻击的 Docker 服务的新型网络攻击活动。这些攻击标志着第一个有记录的利用 9hits 应用程序作为有效负载的恶意软件案例。

Cado 安全实验室发现,该活动将两个容器部署到易受攻击的 Docker 实例 – 一个标准 XMRig 挖矿程序和 9hits 查看器应用程序。后者用于在 9hits 平台上为攻击者生成积分。

9hits 是一个被称为“独特的网络流量解决方案”的平台,允许会员购买积分以进行网站流量交换。在此活动中,通常用于访问网站以换取积分的 9hits 查看器应用程序被恶意软件利用,使攻击者受益。

攻击首先由攻击者控制的服务器通过互联网在易受攻击的 Docker 主机上部署容器。虽然 Cado 研究人员无法访问该传播程序,但他们推测攻击者可能通过 Shodan 等平台发现了蜜罐。该传播器使用 Docker API 启动两个容器,从 Dockerhub 获取现成的镜像用于 9hits 和 XMRig 软件。

仔细检查有效负载操作后发现,9hits 容器运行带有会话令牌的脚本,允许应用程序通过 9hits 服务器进行身份验证并为攻击者赚取积分。XMRig 容器利用链接到攻击者动态 DNS 域的私人矿池来挖掘加密货币。

对受感染主机的影响是资源耗尽,XMRig 矿工消耗可用的 CPU 资源,而 9hits 应用程序则利用大量带宽、内存和任何剩余的 CPU。这可能会阻碍受感染服务器上的合法工作负载,并可能导致更严重的违规行为。

Cado 安全研究员 Nate Bill 表示,这一发现凸显了攻击者从受感染主机中获利的策略不断演变。它还强调暴露的 Docker 主机作为入口点的持续漏洞。

“由于 Docker 允许用户运行任意代码,因此保持其安全至关重要,以避免您的系统被用于恶意目的,” 公告中写道。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66