详细内容或原文请订阅后点击阅览
CryptoJacking广告系列依赖DevOps工具
一项加密劫持的活动是针对Docker和Gitea等裸露的Devops服务器,以秘密地挖掘加密货币。 Wiz的研究人员发现了一个被追踪为JINX-0132的加密助人运动,针对Nomad,Consul,Docker,Docker,Gitea等裸露的DevOps应用程序,以秘密地挖掘加密货币。竞选活动背后的威胁行为者正在利用广泛的已知错误配置和漏洞来交付矿工。 […]
来源:Security Affairs _恶意软件CryptoJacking广告系列依赖DevOps工具
一项加密劫持的活动是针对Docker和Gitea等裸露的Devops服务器,以秘密地挖掘加密货币。
Wiz的研究人员发现了一个被跟踪为Jinx-0132的加密劫持活动,针对裸露的DevOps应用程序,例如Nomad,Consul,Docker,Docker,Gitea,用于秘密地矿山加密货币。
竞选活动背后的威胁行为者正在利用广泛的已知错误配置和漏洞来交付矿工。
该活动是第一个在现实世界中攻击错误配置的游牧服务器的攻击者的第一个公开案例。名叫Jinx-0132的小组利用了这个被忽视的入口点,就像在先前的广告系列“ Seleniumgreed”中,它针对暴露的SeleniumGrid设置。这些类型的错误配置通常不会被防御者注意到,尤其是当涉及的工具并没有被广泛视为攻击目标时。
硒绿色此加密助理活动背后的威胁参与者依赖于公共GitHub工具和标准XMRIG版本,而不是自定义恶意软件。这种“开放源”方法使归因和聚类变得复杂。一些折衷的游牧服务器控制着数百个客户,这表明即使是大型资源的组织也可能成为简单构造的受害者。
“ JINX-0132方法论的一个关键特征是,似乎故意避免了防御者可以用作妥协的指标(IOC)的任何独特的传统标识符。而不是利用攻击者控制的服务器进行有效载荷交付,而是直接从Public Github sopositories下载工具。”阅读云安全公司Wiz发布的报告。 “此外,它们依靠XMRIG的标准发布版本而不是自定义恶意软件。”
报告JINX-0132通过利用错误配置或已知漏洞来瞄准公开暴露的Gitea服务器。虽然确切的方法有所不同,但可能的攻击路径包括:
验证后RCE(CVE-2020-14144) git钩