Docker 远程 API 被攻击者利用进行加密货币挖矿
主要要点
Commando Cat 利用配置错误的 Docker 远程 API 服务器进行加密货币挖矿。攻击者传播名为 cmdcat/chattr 的 Docker 镜像,从中提取到 Kaiten 恶意软件的加密挖矿程序。近期的 Akamai 报告揭示了中国黑客利用 ThinkPHP 漏洞的情况。根据 The Hacker News 的报道,配置错误的 Docker 远程 API 服务器已被威胁行动者 Commando Cat 利用,在其持续进行的加密货币挖矿活动中传播恶意软件。
Commando Cat 利用脆弱的 Docker 实例递送名为 cmdcat/chattr 的 Docker 镜像。该镜像不仅允许操作系统访问,还能检索被认为是基于 Kaiten 恶意软件的 ZiggyStarTux 加密挖矿程序,Trend Micro 的报告指出。Trend Micro 研究人员表示,使用 Docker 镜像进行加密挖矿脚本的分发“使攻击者能够利用 Docker 配置中的漏洞,同时规避安全软件的检测”。
这些发现跟随 A caminhai 的一份报告,该报告显示了大规模的 中国攻击,利用已经存在多年的 ThinkPHP 漏洞被跟踪为 CVE201820062 和 CVE20199082来实现 Dama Web Shell 的交付。
白鲸加速器破解版Akamai 的研究人员注意到:“由讲中文的对手发起的近期攻击突显了攻击者利用完全成熟的 Web Shell 的持续趋势,这种 Web Shell 专为高级受害者控制而设计。”
