突击猫：黑客如何将你的服务器变成矿场

紧急检查您的 Docker 设置以阻止可能的攻击。

Commando Cat 网络犯罪组织出于经济动机继续针对配置错误的 Docker 实例进行加密劫持活动。

继续 加密劫持 Docker

该组织因其使用 Project Commando 创建容器而得名，今年早些时候首次被 Cado Security 记录。

首次被记录

网络犯罪分子的恶意活动包括使用“cmd.cat/chattr”映像创建容器，然后他们可以在受感染的主机上运行 Docker。

每次攻击的过程都从检查服务器的 Docker Remote API 的可用性开始。确认可用性后，将创建一个容器，允许攻击者到达主机操作系统级别。

如果所需的图像丢失，攻击者会从“cmd.cat”存储库中检索它，然后创建一个容器。在此过程中，攻击者执行 Base64 编码的字符串，该字符串被解密为脚本。该脚本检查系统上是否存在文件，如果文件丢失，则下载并执行恶意二进制文件 ZiggyStarTux 是基于 Kaiten（又名 Tsunami）恶意软件的开源 IRC 机器人。

尽管在研究人员分析时攻击者的 C2 服务器不可用，但二进制代码中某些用户代理字符串的存在使得可以跟踪该软件在网络上的存在。

攻击模式

攻击模式

“此攻击的重要性在于使用 Docker 映像在受感染的系统上部署加密劫持脚本，”趋势科技研究人员指出。 “这种策略允许攻击者利用 Docker 配置中的漏洞并避免被防病毒软件检测到。”

趋势科技