LemonDuck是一个跨平台的加密货币挖掘僵尸网络,作为一个活跃的恶意软件活动的一部分,它正针对Docker在Linux系统上挖掘加密货币。
CrowdStrike在一份新的报告中说:“它通过使用代理池来运行一个匿名的采矿操作,这隐藏了钱包地址。它通过禁用阿里云的监控服务来逃避检测。”
LemonDuck以攻击Windows和Linux环境而著称,主要设计用于滥用系统资源来挖掘门罗币(Monero)。但它也能够进行凭证窃取窃、横向移动,并促进部署额外的有效载荷以进行后续活动。
“它使用广泛的传播机制——网络钓鱼电子邮件、漏洞利用、USB设备、暴力破解等——而且它已经表明它可以快速利用新闻、事件或新漏洞的发布来开展有效的活动。”微软在去年7月的恶意软件技术文章中详细介绍了该恶意软件。
2021年初,涉及LemonDuck的攻击链利用当时新修补的Exchange服务器漏洞来访问过时的Windows机器,然后下载后门和信息窃取程序,包括Ramnit。
CrowdStrike发现的最新活动利用暴露的Docker API作为初始访问向量,使用它来运行一个恶意容器,从远程服务器下载一个伪装成无害的PNG图像文件的Bash shell脚本文件。
这家网络安全公司指出,对历史数据的分析表明,至少从2021年1月起,在LemonDuck相关域名上托管的类似图像文件投放器已经被威胁行为者投入使用。
Dropper文件是发起攻击的关键,shell脚本下载实际的有效载荷,然后杀死竞争进程,禁用阿里云的监控服务,最后下载并运行XMRig挖矿软件。
随着受损的云实例成为非法加密货币挖矿活动的温床,这些发现强调了在整个软件供应链中保护容器免受潜在风险的必要性。
TeamTNT瞄准亚马逊云(AWS)、阿里云
思科Talos披露了一个名为TeamTNT的网络犯罪组织的工具集,该组织有针对云基础设施进行加密货币劫持和放置后门的历史。
据悉,这些恶意软件的有效载荷是根据之前的公开披露而修改的,主要是针对亚马逊网络服务(AWS)而设计的,同时专注于加密货币挖掘、持久性、横向移动和禁用云安全解决方案。
Talos研究员Darin Smith说:“被安全研究人员揭露的网络犯罪分子必须更新他们的工具,以便继续成功运作。”
“TeamTNT使用的工具表明,新的网络犯罪分子越来越习惯于攻击Docker、Kubernetes和公共云服务提供商等现代环境,而其他网络犯罪分子在传统上会避免这些环境,只是专注于内部部署或移动环境。”
Spring4Shell被利用于加密货币挖掘
这还不是全部。在另一个例子中,威胁者如何快速地将新披露的缺陷纳入他们的攻击,Spring框架(CVE-2022-22965)中的关键远程代码执行错误已被用来部署加密货币挖矿恶意软件的武器。
恶意行为者尝试利用漏洞使用自定义Webshell来部署加密货币挖矿软件,但在关闭防火墙和终止其他虚拟货币矿工进程之前。
趋势科技研究人员Nitesh Surana和Ashish Verma说:“这些加密货币恶意挖矿软件有可能影响大量用户,特别是因为Spring是用Java开发企业级应用程序最广泛使用的框架。”