挖矿病毒看上了 Docker 服务器

发布时间：2022-04-25 13:57 所属栏目：53 来源：互联网

导读：Bleeping Computer 网站披露，Lemon_Duck 僵尸网络运营商正在进行大规模 Monero 加密挖矿活动，Linux 服务器上的 Docker API 成为其主要攻击目标。近些年，安全性差或配置错误的 Docker 系统，一直受到加密团伙持续威胁，发生了多此大规模的网络攻击活动。

Bleeping Computer 网站披露，Lemon_Duck 僵尸网络运营商正在进行大规模 Monero 加密挖矿活动，Linux 服务器上的 Docker API 成为其主要攻击目标。

近些年，安全性差或配置错误的 Docker 系统，一直受到加密团伙持续威胁，发生了多此大规模的网络攻击活动。其中 Lemon_Duck 尤为猖獗，该团伙之前一直专注利用脆弱的微软 Exchange 服务器，以及通过 SSH 暴力攻击针对 Linux 机器、易受 SMBGhost 影响的 Windows 系统和运行 Redis 和 Hadoop 实例的服务器。

根据 Crowdstrike 发布的报告来看，目前正在进行的 Lemon_Duck 挖矿活动，背后的威胁攻击者正在将其钱包隐藏在代理池后面。

之后，有效负载在容器中创建一个 cronjob，下载执行以下操作的 Bash 文件 (a.asp)：

根据已知的矿池、竞争的加密组等的名称来杀死进程。
杀死 crond、sshd 和 syslog 等守护进程。
删除已知的危害指标(IOC)文件路径。
关闭与已知属于竞争性加密集团的 C2 的网络连接。
停用阿里云的监控服务，保护实例不受风险活动的影响。

Lemon_Duck 恶意加密挖矿活动披露的同时，思科 Talos 报告了 TeamTNT 的一个活动，据悉，该活动也针对亚马逊网络服务上暴露的 Docker API 实例。

TeamTNT 组织试图禁用云安全服务以逃避检测，并尽可能长时间地挖掘 Monero、比特币和以太币。

现阶段，安全配置 Docker API 部署势在必行，管理员应该从检查平台的最佳实践和针对其配置的安全建议开始，保护容器安全性。此外，对所有容器设置资源消耗限制，实行严格的图像认证政策，并执行最小特权原则。

（编辑：ASP站长网）

挖矿病毒 看上 了 Docker 服务器

挖矿病毒看上了 Docker 服务器