警惕！挖礦木馬WatchDog開始針對Docker 和 Redis 服務器

據外媒報道，自去年曝光最活躍的黑客組織 WatchDog 正在利用先進的黑客技術、惡意軟件和安全規避技術開展新的加密劫持活動。

WatchDog攻擊Docker引擎API端點和REDIS服務器，并從一個受影響的系統迅速傳播到整個網絡。據發現惡意活動的CADO實驗室專家稱，該組織的目標是利用不受保護的服務器資源挖掘加密貨幣，從而獲得經濟利益。

如何進行攻擊

首先，WatchDog通過端口2375破解配置不當的Docker引擎API端點來啟動攻擊，使黑客能夠訪問出廠設置中的保護進程。攻擊者就可以創建列表并修改容器，并運行任意命令。攻擊者先運行cronb.sh腳本檢查主機的感染狀態，然后創建進程列表，并為第二階段攻擊提取AR.SH有效負載。

攻擊者再運行第二個腳本來攔截ps命令，執行隱藏shell腳本的進程。此外，它還會更改時間戳以迷惑安全研究人員。

這時候，XMRig 挖礦程序就會安裝在受感染的機器上。

最后，攻擊的有效載荷使用ZGRAB、Masscan和PNSCAN在網絡中搜索有效點，并加載最后兩個腳本以傳播感染-C.SH和D.SH。

第一個腳本 c.sh 禁用 SELinux 并設置ulimit和iptables來連接網絡上受感染的Redis服務器，同時禁用任何其他外部訪問。

第二個腳本 d.sh 與第一個腳本類似，但它不是 Redis，而是攻擊其他 Docker 引擎 API 端點，并將其感染到惡意的Alpine Linux容器中，該容器運行腳本進行初始訪問cronb.sh。