關鍵詞
挖礦木馬
據外媒報道,自去年曝光最活躍的黑客組織 WatchDog 正在利用先進的黑客技術、惡意軟件和安全規避技術開展新的加密劫持活動。
WatchDog攻擊Docker引擎API端點和REDIS服務器,並從一個受影響的系統迅速傳播到整個網絡。據發現惡意活動的CADO實驗室專家稱,該組織的目標是利用不受保護的服務器資源挖掘加密貨幣,從而獲得經濟利益。
如何進行攻擊
首先,WatchDog通過端口2375破解配置不當的Docker引擎API端點來啟動攻擊,使黑客能夠訪問出廠設置中的保護進程。攻擊者就可以創建列表並修改容器,並運行任意命令。攻擊者先運行cronb.sh腳本檢查主機的感染狀態,然後創建進程列表,並為第二階段攻擊提取AR.SH有效負載。
攻擊者再運行第二個腳本來攔截ps命令,執行隱藏shell腳本的進程。此外,它還會更改時間戳以迷惑安全研究人員。
這時候,XMRig 挖礦程序就會安裝在受感染的機器上。
最後,攻擊的有效載荷使用ZGRAB、Masscan和PNSCAN在網絡中搜索有效點,並加載最後兩個腳本以傳播感染-C.SH和D.SH。
第一個腳本 c.sh 禁用 SELinux 並設置ulimit和iptables來連接網絡上受感染的Redis服務器,同時禁用任何其他外部訪問。
第二個腳本 d.sh 與第一個腳本類似,但它不是 Redis,而是攻擊其他 Docker 引擎 API 端點,並將其感染到惡意的Alpine Linux容器中,該容器運行腳本進行初始訪問cronb.sh。
END
閱讀推薦
【安全圈】美國網絡安全禁令生效,限制向包括中國在內的多個國家共享網絡漏洞
【安全圈】LockBit團伙聲稱對富士康被勒索軟件攻擊事件負責
【安全圈】黑客利用未修補的關鍵Atlassian Confluence零日漏洞
安全圈
←掃碼關注我們
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個讚
支持「安全圈」就點個三連吧!
留言列表