最近,有报告指出,加密货币挖矿恶意软件和其他恶意载荷正在针对 misconfigured Docker API 服务器进行攻击,这是一次新型恶意软件攻击活动,类似于用于 加密劫持 的 Spinning YARN 活动,此活动针对 Docker、Apache Hadoop YARN、Redis 及 Atlassian Confluence 服务器,The Hacker News 报道称。
根据 Datadog 的报告,攻击者首先发起了侦察和权限提升攻击,针对暴露的 2375 端口的 Docker API 进行攻击。在执行一组三个 Shell 脚本后,“vurl” Shell 脚本启动了一个名为 bsh 的脚本,该脚本使用 vurl 二进制文件来获取 XMRig 矿工和其他工具。此外,arsh 脚本则负责扫描漏洞主机、禁用防火墙并获取下一个阶段的载荷。
“此更新的 Spinning YARN 活动显示了继续攻击配置错误的 Docker 主机以获取初始访问的意愿。此次活动背后的威胁行为者不断迭代已部署的载荷,将功能移植到 Go 语言上,这可能表示试图妨碍分析过程,或者表明正在进行多架构构建的实验,”Datadog 安全研究员 Matt Muir 表示。
攻击关键点描述攻击目标不当配置的 Docker API 服务器利用方法侦查、权限提升、Shell 脚本执行开启端口2375 端口恶意载荷XMRig 矿工及其他工具这种攻击方式再次彰显了对安全配置的重视,尤其是在云原生环境中。企业应定期检查其服务器配置,以防止类似的恶意活动。
