Commando Cat:恶意软件中的“斜杠”,偷数据、安后门和挖矿全会

阅读量41894

发布时间 : 2024-02-04 10:45:31

在名为“Commando Cat”的 复杂加密劫持活动中,暴露的Docker API 端点正在通过互联网受到攻击。

“该行动使用了Commando 项目 构建的安全容器 ,” Cado Security 的 安全研究人员解释道。“攻击者已经找到了一种方法来逃离这个容器并在 Docker 主机上启动任意有效负载。”

该活动预计将从 2024 年初开始活跃。这是过去几个月内发现的第二起此类活动。一月中旬,专家们发现了另一群针对易受攻击的 Docker 主机的攻击,目的是部署XMRig cryptominer和 9Hits Viewer 软件。

该操作使用 Docker 作为初始访问向量,从攻击者的服务器传递一组相互依赖的恶意软件。该服务器负责维护系统中的永久存在、安装后门、窃取云服务提供商的凭据并直接启动加密货币挖矿程序。

然后,获得的对易受攻击的 Docker 实例的访问权限将用于使用 open Commando 工具部署良性容器,并执行允许您使用 chroot“突破”容器的恶意命令。

它还执行一系列检查,看看受感染的系统上是否存在名为“sys-kernel-debugger”、“gsc”、“c3pool_miner”和“dockercache”的活动服务。仅当此检查成功时,下一阶段才会开始,并涉及从攻击者的 C&C 服务器获取其他恶意软件。

由此产生的程序中有一个后门脚本“user.sh”,能够添加 SSH 密钥并使用攻击者已知的密码和超级用户权限创建虚假用户。脚本“tshd.sh”、“gsc.sh”和“aws.sh”也被提供来安装后门和窃取凭证。

攻击以以 Base64 编码的脚本形式部署另一个有效负载而结束,该有效负载安装了 XMRig 加密货币矿工,之前已从受感染的计算机中删除了竞争矿工。

尽管已检测到与 TeamTNT 加密劫持者组织的命令服务器的脚本和 IP 地址的交叉点,但威胁的确切来源仍然未知。也许我们正在谈论一个模仿团体。

研究人员表示,“这种恶意软件集凭证窃贼、隐形后门和加密货币挖矿功能为一体。” 这使其成为最大限度地利用受感染机器的资源的通用工具。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66