Spinning YARN 2.0：Docker 中基于 YARN 的新容器

攻击者正在重写他们的工具来对抗分析。

研究人员发现了一种针对公共 Docker API 的新恶意软件活动，旨在传播加密货币矿工和其他恶意软件。

API Docker

Datadog 专家在最近的一份报告中表示，所使用的工具包括能够下载和执行其他恶意软件的远程访问工具，以及通过 SSH 分发恶意软件的实用程序。

SSH 数据狗 最近的报告。

对该活动的分析显示，该活动与之前名为 Spinning YARN 的活动在战术上有相似之处，该活动由 Cado Security 识别，并针对配置错误的 Apache Hadoop YARN、Docker、Atlassian Confluence 和 Redis 服务进行加密劫持。

纺纱， Cado 安全 加密劫持

攻击首先搜索开放端口（端口号 2375）的 Docker 服务器，包括几个阶段：侦察、提权和利用漏洞。

使用“vurl”脚本从攻击者控制的基础设施下载有效负载。该脚本包括另一个脚本“b.sh”，其中包含编码的二进制文件“vurl”。该文件又负责加载和运行名为“ar.sh”（或“i.sh”）的第三个脚本。

“b.sh”脚本解码二进制文件并将其提取到“/usr/bin/vurl”中，覆盖脚本的现有版本，正如安全研究员 Matt Muir 所解释的那样。 “该二进制文件与脚本版本的不同之处在于使用了硬编码控制域。”

“ar.sh”脚本可以做很多事情，包括创建工作目录、安装工具来扫描互联网上是否存在易受攻击的主机、禁用防火墙以及加载下一阶段的有效负载（称为“chkstart”）。

XMRig