Foresight News 消息,根據網絡安全公司卡巴斯基的報告,新發現的 Linux 惡意軟件活動正在危害不安全的 Docker 基礎設施,將暴露的服務器變成挖掘隱私幣 Dero 的去中心化加密劫持網絡的一部分。
此次攻擊首先利用了 2375 端口上公開的 Docker API。一旦獲得訪問權限,該惡意軟件就會生成惡意容器。它會感染已運行的容器,竊取系統資源來挖掘 Dero 惡意軟件,並掃描其他目標,而無需中央命令服務器。從軟件角度來說,docker 是一組應用程序或平臺工具和產品,它們使用操作系統級虛擬化以稱為容器的小包形式交付軟件。該行動背後的威脅行為者部署了兩個基於 Golang 的植入程序:一個名為「nginx」(故意偽裝成合法的 Web 服務器軟件),另一個名為「cloud」,它是用於生成 Dero 的實際挖掘軟件。一旦主機受到攻擊,nginx 模塊就會持續掃描互聯網以查找更易受攻擊的 Docker 節點,並使用 Masscan 等工具識別目標並部署新的受感染容器。為了避免被發現,它會加密配置數據,包括錢包地址和 Dero 節點端點,並將自己隱藏在合法系統軟件通常使用的路徑下。卡巴斯基發現,2023 年和 2024 年針對 Kubernetes 集群的早期加密劫持活動中使用的錢包和節點基礎設施相同,這表明這是一種已知操作的演變,而不是一種全新的威脅。
