Bleeping Computer 網(wǎng)站披露，Lemon_Duck 僵尸網(wǎng)絡運營商正在進行大規(guī)模 Monero 加密挖礦活動，Linux 服務器上的 Docker API 成為其主要攻擊目標。

近些年，安全性差或配置錯誤的 Docker 系統(tǒng)，一直受到加密團伙持續(xù)威脅，發(fā)生了多此大規(guī)模的網(wǎng)絡攻擊活動。其中 Lemon_Duck 尤為猖獗，該團伙之前一直專注利用脆弱的微軟 Exchange 服務器，以及通過 SSH 暴力攻擊針對 Linux 機器、易受 SMBGhost 影響的 Windows 系統(tǒng)和運行 Redis 和 Hadoop 實例的服務器。

根據(jù) Crowdstrike 發(fā)布的報告來看，目前正在進行的 Lemon_Duck 挖礦活動，背后的威脅攻擊者正在將其錢包隱藏在代理池后面。

活動細節(jié)

網(wǎng)絡安全人員研究發(fā)現(xiàn)，Lemon_Duck 能夠訪問暴露的 Docker API，并運行惡意容器獲取一個偽裝成 PNG 圖像的 Bash 腳本。

添加惡意cronjob

之后，有效負載在容器中創(chuàng)建一個 cronjob， 下載執(zhí)行以下操作的 Bash 文件 (a.asp)：

• 根據(jù)已知的礦池、競爭的加密組等的名稱來殺死進程。
• 殺死 crond、sshd 和 syslog 等守護進程。
• 刪除已知的危害指標(IOC)文件路徑。
• 關閉與已知屬于競爭性加密集團的 C2 的網(wǎng)絡連接。
• 停用阿里云的監(jiān)控服務，保護實例不受風險活動的影響。

禁用阿里云監(jiān)控

值得一提的是，禁用阿里云服務中的保護功能，在 2021 年 11 月的某次加密采礦惡意軟件中已經(jīng)被研究人員觀察到。

執(zhí)行上述操作后，Bash 腳本會下載并運行加密采礦工具 XMRig 以及一個配置文件，將攻擊者的錢包隱藏在代理池后面。

在最初被感染機器被設置為挖礦后，Lemon_Duck 試圖通過利用文件系統(tǒng)上的 SSH 密鑰進行橫向移動，如果能夠成功的話，攻擊者就用可以重復同樣的感染過程。

在文件系統(tǒng)上搜索 SSH 密鑰

遏制 Docker 威脅

Lemon_Duck 惡意加密挖礦活動披露的同時，思科 Talos 報告了 TeamTNT 的一個活動，據(jù)悉，該活動也針對亞馬遜網(wǎng)絡服務上暴露的 Docker API 實例。

TeamTNT 組織試圖禁用云安全服務以逃避檢測，并盡可能長時間地挖掘 Monero、比特幣和以太幣。

現(xiàn)階段，安全配置 Docker API 部署勢在必行，管理員應該從檢查平臺的最佳實踐和針對其配置的安全建議開始，保護容器安全性。 此外，對所有容器設置資源消耗限制，實行嚴格的圖像認證政策，并執(zhí)行最小特權(quán)原則。

參考文章：https://www.bleepingcomputer.com/news/security/docker-servers-hacked-in-ongoing-cryptomining-malware-campaign/