针对漏洞Docker和Kubernetes实例的新加密劫持活动

一项新的加密劫持活动已被发现，其目标是脆弱的Docker和Kubernetes基础设施，这是旨在非法开采加密货币的机会攻击的一部分。

网络安全公司CrowdStrike为该活动命名Kiss-adog公司，其指挥和控制基础设施与其他团队（如TeamTNT）相关的基础设施重叠，这些团队以攻击配置错误的Docker和Kubernetes实例而闻名。

这些入侵于2022年9月被发现，其名称来自一个名为“kiss.adog[.]top”的域名，该域名用于使用Base64编码的Python命令在受损容器上触发shell脚本负载。

CrowdStrike研究人员Manoj Ahuje在一份技术分析中表示：“有效载荷中使用的URL被反斜杠遮挡，以阻止自动解码和正则表达式匹配以检索恶意域”。

攻击链随后试图逃离容器并横向移动到被破坏的网络中，同时采取步骤终止并移除云监控服务。

作为逃避检测的其他方法，该活动利用Diamorphine和libprocesshide rootkit向用户隐藏恶意进程，后者编译为共享库，其路径设置为LD_PRELOAD环境变量的值。

Ahuje说：“这使得攻击者能够将恶意共享库注入到受攻击容器上产生的每个进程中”。

该活动的最终目标是使用XMRig挖掘软件秘密挖掘加密货币，并为挖掘和其他后续攻击提供Redis和Docker实例。

阿胡杰指出：“随着加密货币价格的下降，这些活动在过去几个月一直被压制，直到10月份推出了多个活动，以利用低竞争环境”。

Sysdig的研究人员揭开了另一个名为PURPLEURCHIN的复杂加密挖掘操作的神秘面纱，该操作利用分配给GitHub、Heroku和Buddy[.]免费试用账户的计算来扩大攻击规模。

据称，多达30个GitHub帐户、2000个Heroku帐户和900个Buddy帐户被用于自动免费劫持活动。

该攻击需要创建一个参与者控制的GitHub帐户，每个帐户都包含一个存储库，该存储库又有一个GitHub Action，通过启动Docker Hub映像来运行挖掘操作。

研究人员表示：“使用免费账户将运营加密矿工的成本转移到服务提供商身上”。“然而，像许多欺诈用例一样，滥用免费账户可能会影响其他人。提供商的更高费用将导致其合法客户的更高价格”。