研究人员发现针对 Docker 和 Kubernetes 云服务器的加密劫持活动 媒体
新的云端加密劫持攻击活动揭露
重点摘要
CrowdStrike 研究人员揭露了一个新的针对全球云基础设施的攻击活动,名为KissADog。该活动主要目的是利用受害者的计算能力安装 XMRig 进行加密货币挖矿。攻击者使用多个指挥和控制伺服器来逃避容器化环境,并获得根权限。目前,全球有超过68000个易受攻击的 Kubernetes 实例和13000个 Docker 实例暴露在互联网上。CrowdStrike 的研究显示,名为KissADog的攻击活动最早可追溯至九月,当时他们的蜜罐系统首次开始侦测到针对易受攻击的 Docker 和 Kubernetes 实例的攻击。这个名称来自于攻击者用来获取 Python 编写的恶意软体的域名:kiss[]adog[]top。
exp加速器app攻击者利用多个指挥和控制伺服器来逃避容器化环境并获得根权限,使用内核和用户根套件进行混淆,创建后门、进行侧向移动和保持持久性。攻击者还展示了检测和卸载第三方云端监控服务的能力。
一旦在受损的容器内部获得立足点,威胁行为者就会寻找网路扫描工具,以探索更多运行 Docker 和 Kubernetes 的云伺服器。
根据 Shodan 的数据,目前全球有超过 68000 个易受攻击的 Kubernetes 实例其中美国有 16915 个和 13000 个 Docker 实例其中美国有 2320 个暴露于互联网上。
实例类型全球数量美国数量Kubernetes6800016915Docker130002320图片来源:Shodan 和 CrowdStrike易受攻击的 Kubernetes 实例易受攻击的 Docker 实例
根据研究人员的说法,最终的目标是利用受害者的计算能力来安装 XMRig 并挖掘加密货币。尽管这些攻击在首次被 CrowdStrike 察觉之前已经出现一段时间,但夏季加密货币市场的平行崩溃可能最初“使其可见性和影响力受到削弱”。
CrowdStrike 的高级威胁研究员 Manoj Ahuje 表示:“加密劫持组织的活动持续时间从几天到几个月不等,具体取决于它们的成功率。随著加密货币价格的下跌,这些活动在过去几个月中受到压制,直到十月份发动了多个活动,趁低竞争环境而为。”
CrowdStrike 虽然不对这一活动进行明确的归因,但指出多次攻击来自于之前被 TeamTNT 使用的指挥和控制伺服器。TeamTNT 是一个以针对云端和容器环境而闻名的骇客团体。根据 Trend Micro 在 10 月 19 日发布的研究,
