安全研究人员发现了一种针对脆弱的Docker服务的新型网络攻击活动。这些攻击标志着恶意软件利用9hits应用程序作为有效负载的第一个记录案例。
该攻击由Cado Security Labs发现,它向易受攻击的Docker实例部署了两个容器,分别是一个标准XMRig挖掘器和9hits查看器应用程序。后者用于在9hits平台上为攻击者生成积分。
9hits是一个被描述为独特的网络流量解决方案的平台,它允许会员购买积分来交换网站流量。在这次攻击中,通常用于访问网站以换取积分的9hits查看器应用程序被恶意软件利用,使攻击者受益。
攻击开始于由攻击者控制的服务器通过互联网在易受攻击的Docker主机上部署容器。虽然Cado的研究人员无法访问传播器,但他们推测攻击者可能通过Shodan等平台发现了蜜罐。散布器使用Docker API启动两个容器,从Dockerhub获取现成的映像,用于9hits和XMRig软件。
在仔细检查负载操作后,发现9hits容器运行带有会话令牌的脚本,允许应用程序与9hits服务器进行身份验证并为攻击者赚取积分。XMRig容器利用连接到攻击者动态DNS域的私有挖掘池挖掘加密货币。
对受损主机的影响是资源耗尽,XMRig矿机消耗可用的CPU资源,9hits应用程序利用大量带宽、内存和任何剩余的CPU。这可能会阻碍受感染服务器上的合法工作负载,从而可能导致更严重的入侵。
根据Cado安全研究员Nate Bill的说法,这一发现强调了攻击者不断进化的策略,以从受损的主机中获利。它还强调了暴露的Docker主机作为入口点的持久性漏洞。
该建议写道:“由于Docker允许用户运行任意代码,因此确保其安全以避免您的系统被用于恶意目的是至关重要的。”
