僵尸網絡正通過阿里云、AWS、Docker進行挖礦

據悉，跨平臺加密貨幣挖掘僵尸網絡LemonDuck正在針對開源應用容器引擎Docker，以在Linux系統上挖掘加密貨幣。

美國網絡安全技術公司CrowdStrike在一份新報告中表示，LemonDuck通過使用隱藏錢包地址的代理池來進行匿名挖掘，并通過瞄準和禁用阿里云的監控服務來逃避檢測。

LemonDuck以攻擊Windows和Linux環境而出名，主要用于濫用系統資源來挖掘門羅幣。但是它也能夠進行盜取憑證、橫向移動，并為后續活動部署額外的有效載荷。

微軟在去年7月的惡意軟件技術文章中詳細介紹了該惡意軟件，它使用網絡釣魚電子郵件、漏洞利用、USB 設備、暴力破解等廣泛的傳播機制，可以快速利用新聞事件或新漏洞的發布來開展活動。

2021年初，涉及LemonDuck的攻擊鏈利用當時新修補的Exchange Server漏洞，獲取對Windows機器的訪問權限，然后下載后門和信息竊取程序，包括Ramnit木馬。

美國網絡安全技術公司CrowdStrike發現的最新活動利用Docker API作為初始訪問載體，來運行惡意容器，檢索偽裝成來自遠程服務器的無害PNG圖像文件的Bash shell腳本文件。該網絡安全公司還指出，歷史數據表明，至少從2021年1月起，威脅行為者就開始利用LemonDuck相關域上托管的圖像文件來下載程序。

dropper文件是發起攻擊的關鍵，shell腳本下載實際的有效載荷，然后殺死競爭進程，禁用阿里云的監控服務，最后下載并運行XMRig門羅幣挖礦軟件。

隨著受損的云實例成為非法加密貨幣挖掘活動的溫床，該調查結果強調了在整個軟件供應鏈中保護容器免受潛在風險的必要性。

TeamTNT瞄準AWS和阿里云

思科網絡安全研究部門Talos披露了一個名為TeamTNT的網絡犯罪組織的工具集，該組織曾針對云基礎設施進行加密劫持和放置后門。

據說這些惡意軟件有效負載已針對先前的公開披露進行了修改，主要針對亞馬遜云計算服務 AWS，同時專注于加密貨幣挖掘、橫向移動和禁用云安全解決方案等。

Talos研究員Darin Smith表示，被安全研究人員發現的網絡罪犯必須更新他們的工具才能繼續成功運。TeamTNT 使用的工具表明，網絡犯罪分子越來越習慣于攻擊Docker、Kubernetes和公共云提供商等現代環境，而其他網絡犯罪分子通常會避開這些環境。

Spring4Shell被用于加密貨幣挖掘

在另一個威脅參與者迅速將新披露的漏洞用于攻擊的例子中，Spring Framework中的關鍵遠程代碼執行漏洞 （CVE-2022-22965）已被用于部署加密貨幣挖掘程序。

該漏洞試圖利用自定義web shell來部署加密貨幣挖掘程序，但必須先關閉防火墻并終止其他相關進程。

趨勢科技研究人員Nitesh Surana和Ashish Verma說：“這些加密貨幣挖掘程序有可能影響大量用戶，因為Spring是在開發企業級應用程序時使用最廣泛的框架。”