小心加密货币矿商瞄准Dockers、AWS和阿里云

LemonDuck是一个跨平台加密货币挖掘僵尸网络，其目标是Docker在Linux系统上挖掘加密货币，这是一场活跃的恶意软件活动的一部分。

CrowdStrike在一份新报告中表示：“它通过使用代理池进行匿名挖掘操作，隐藏钱包地址”。“它通过针对阿里云的监控服务并禁用它来逃避检测”。

LemonDuck以攻击Windows和Linux环境著称，其主要目的是滥用系统资源挖掘Monero。但它还能够盗窃凭证、横向移动，并有助于为后续活动部署额外的有效载荷。

“它使用了广泛的传播机制，网络钓鱼电子邮件、漏洞攻击、USB设备、暴力等，并且它已经表明，它可以快速利用新闻、事件或新漏洞攻击的发布来开展有效的活动，”微软在去年7月的一份恶意软件技术报告中详细介绍了这一点。

2021年初，涉及LemonDuck的攻击链在下载后门和信息窃取者（包括Ramnit）之前，利用当时新修补的Exchange Server漏洞访问过时的Windows计算机。

CrowdStrike发现的最新活动利用公开的Docker API作为初始访问向量，使用它运行恶意容器从远程服务器检索伪装成无害PNG图像文件的Bash shell脚本文件。

这家网络安全公司指出，对历史数据的分析表明，至少自2021 1月以来，该威胁行为人已经开始使用LemonDuck相关域上托管的类似图像文件拖放器。

滴管文件是发起攻击的关键，shell脚本下载实际负载，然后杀死竞争进程，禁用阿里云的监控服务，最后下载并运行XMRig coin miner。

随着受损云实例成为非法加密货币挖掘活动的温床，这些发现强调了在整个软件供应链中保护容器免受潜在风险的必要性。

TeamTNT瞄准AWS、阿里云

思科塔洛斯披露了一个名为TeamTNT的网络犯罪集团的工具集，该集团有针对云基础设施进行加密劫持和设置后门的历史。

这些恶意软件的有效载荷据说是为了回应之前的公开披露而修改的，其主要目的是针对亚马逊网络服务（AWS），同时专注于加密货币挖掘、持久性、横向移动和禁用云安全解决方案。

塔洛斯研究人员达林·史密斯说：“被安全研究人员发现的网络罪犯必须更新他们的工具，才能继续成功运作”。

“TeamTNT使用的工具表明，网络犯罪分子越来越乐于攻击Docker、Kubernetes和公共云提供商等现代环境，而传统上，其他网络犯罪分子都会避免攻击这些环境，而他们会将重点放在楼宇或移动环境上”。

Spring4Shell用于加密货币挖掘

还不止这些。在另一个例子中，威胁行为者如何迅速将新披露的漏洞加入到攻击中，Spring Framework（CVE-2022-22965）中的关键远程代码执行漏洞已被武器化，以部署加密货币矿工。

该漏洞试图利用自定义web shell部署加密货币矿工，但在关闭防火墙和终止其他虚拟货币矿工进程之前不这样做。

Trend Micro研究人员Nitesh Surana和Ashish Verma表示：“这些加密货币矿工有可能影响大量用户，尤其是因为Spring是Java中开发企业级应用程序最广泛使用的框架”。