正在使用升级的规避策略进行自动加密挖掘恶意软件攻击

今天公布的新研究显示，一项正在进行的加密采矿活动升级了其武库，同时改进了其防御规避策略，使威胁行为者能够隐藏入侵并在雷达下飞行

据DevSecOps和云安全公司AQA Survivor的研究人员发现，在2019，首次发现了84个针对蜜罐服务器的攻击，其中四起发生在2021年，其中有四起发生在2021年。也就是说，仅在2021的第三季度，就有125起袭击事件发生在野生动物身上，这表明这些袭击并没有减缓。

最初的攻击涉及在运行名为“alpine:latest”的普通映像时执行恶意命令，导致下载名为“autom.sh”的shell脚本

“敌人通常使用普通图像和恶意命令来执行攻击，因为大多数组织信任官方图像，并允许它们使用，”研究人员在与《黑客新闻》分享的一份报告中说。“多年来，为实施攻击而添加到官方图像中的恶意命令几乎没有改变。主要区别在于下载shell脚本autom.sh的服务器。”

尽管2019年的早期活动没有采用特殊技术来隐藏采矿活动，但后来的版本显示了开发商采取的极端措施，以使其不被检测和检查，其中最主要的功能是禁用安全机制，并检索一个模糊的挖掘外壳脚本，该脚本经过五次Base64编码以绕过安全工具

除此之外，一个名为TeamTNT的黑客组织被发现袭击了不安全的Redis数据库服务器、阿里巴巴弹性计算服务（ECS）实例、暴露的Docker API、，以及易受攻击的Kubernetes群集，以便在目标主机上以root权限执行恶意代码，并部署加密货币挖掘有效负载和凭据窃取程序。此外，受损的Docker Hub帐户还被用来托管恶意图像，然后用于分发加密货币

最近几周，Log4j日志库中的安全漏洞以及在Atlassian Confluence、F5 BIG-IP、VMware vCenter和Oracle WebLogic服务器中新发现的漏洞被滥用，以接管机器来挖掘加密货币，这一方案被称为加密劫持。本月早些时候，网络连接存储（NAS）设备制造商QNAP还警告称，针对其设备的加密货币挖掘恶意软件可能会占总CPU使用量的50%左右

“Autom活动表明，攻击者正变得越来越复杂，不断改进他们的技术和能力，以避免被安全解决方案检测到，”研究人员说。为了防止这些威胁，建议监视可疑容器活动，执行动态图像分析，并定期扫描环境以查找错误配置问题