挖礦病毒“盯上”了 Docker 服務器

Bleeping Computer 網站披露，Lemon_Duck 僵尸網絡運營商正在進行大規模 Monero 加密挖礦活動，Linux 服務器上的 Docker API 成為其主要攻擊目標。

近些年，安全性差或配置錯誤的 Docker 系統，一直受到加密團伙持續威脅，發生了多此大規模的網絡攻擊活動。其中 Lemon_Duck 尤為猖獗，該團伙之前一直專注利用脆弱的微軟 Exchange 服務器，以及通過 SSH 暴力攻擊針對 Linux 機器、易受 SMBGhost 影響的 Windows 系統和運行 Redis 和 Hadoop 實例的服務器。

根據 Crowdstrike 發布的報告來看，目前正在進行的 Lemon_Duck 挖礦活動，背后的威脅攻擊者正在將其錢包隱藏在代理池后面。

活動細節

網絡安全人員研究發現，Lemon_Duck 能夠訪問暴露的 Docker API，并運行惡意容器獲取一個偽裝成 PNG 圖像的 Bash 腳本。

添加惡意cronjob

之后，有效負載在容器中創建一個 cronjob， 下載執行以下操作的 Bash 文件 (a.asp)：

根據已知的礦池、競爭的加密組等的名稱來殺死進程。

殺死 crond、sshd 和 syslog 等守護進程。

刪除已知的危害指標（IOC）文件路徑。

關閉與已知屬于競爭性加密集團的 C2 的網絡連接。

停用阿里云的監控服務，保護實例不受風險活動的影響。

禁用阿里云監控

值得一提的是，禁用阿里云服務中的保護功能，在 2021 年 11 月的某次加密采礦惡意軟件中已經被研究人員觀察到。

執行上述操作后，Bash 腳本會下載并運行加密采礦工具 XMRig 以及一個配置文件，將攻擊者的錢包隱藏在代理池后面。

在最初被感染機器被設置為挖礦后，Lemon_Duck 試圖通過利用文件系統上的 SSH 密鑰進行橫向移動，如果能夠成功的話，攻擊者就用可以重復同樣的感染過程。

在文件系統上搜索 SSH 密鑰

遏制 Docker 威脅

Lemon_Duck 惡意加密挖礦活動披露的同時，思科 Talos 報告了 TeamTNT 的一個活動，據悉，該活動也針對亞馬遜網絡服務上暴露的 Docker API 實例。

TeamTNT 組織試圖禁用云安全服務以逃避檢測，并盡可能長時間地挖掘 Monero、比特幣和以太幣。

現階段，安全配置 Docker API 部署勢在必行，管理員應該從檢查平臺的最佳實踐和針對其配置的安全建議開始，保護容器安全性。此外，對所有容器設置資源消耗限制，實行嚴格的圖像認證政策，并執行最小特權原則。

參考文章：

https://www.bleepingcomputer.com/news/security/docker-servers-hacked-in-ongoing-cryptomining-malware-campaign/