详细内容或原文请订阅后点击阅览
Perfctl 恶意软件再次来袭,加密骗子瞄准 Docker Remote API 服务器
对未受保护服务器的攻击达到“严重程度”据 Trend Micro 研究人员称,一名未知攻击者正在滥用暴露的 Docker Remote API 服务器在受害者的系统上部署 perfctl 加密挖掘恶意软件。
来源:The Register _恶意软件一名未知的攻击者正在滥用裸露的Docker远程API服务器,以在受害者的系统上部署PerfCTL加密恶意软件。
趋势Micro的高级威胁研究员Sunil Bharti告诉《登记册》,他的团队的蜜罐在可能的骗子部署了Perfctl之后将两次此类尝试捕获。这与Aqua安全研究人员警告说,这是同一恶意软件,可能针对数百万人的数百万目标,并宣称“任何Linux服务器都可能面临风险。”
寄存器 声明因此,正如趋势警告说,利用这些不受保护的服务器的最佳岸上远程API服务器现在“达到了一个关键的水平,在此关注组织及其安全专业人员的注意力。”
警告今年早些时候,安全商店发现了类似的加密劫持攻击活动,该活动还滥用了裸露的Docker远程API服务器,并且自2024年初以来一直活跃。
发现在较新的攻击中,犯罪分子还通过这些与Internet连接的服务器获得了初步访问权限,然后从Ubuntu:Mantic-20240405基本图像中创建了一个容器。它使用特定的设置在特权模式和PID模式下运行:主机确保容器共享主机系统的进程ID(PID)名称空间。
PID模式:主机
“这意味着在容器内部运行的过程将共享与主机上的过程相同的PID名称空间,”研究人员Sunil Bharti和Ranga Duraisamy写道。
“结果,容器的过程将能够以与所有运行过程相同的方式与主机系统上运行的所有过程进行交互,就像它们直接在主机上运行一样。”
nsenter命令
nsenter
__curl
curl
wget
为了避免成为PerfCTL的下一个受害者,趋势的团队建议实施强大的访问控制和身份验证,并监视Docker Remote API服务器的任何异常行为。
容器安全最佳实践
PID模式:主机
“这意味着在容器内部运行的过程将共享与主机上的过程相同的PID名称空间,”研究人员Sunil Bharti和Ranga Duraisamy写道。
“结果,容器的过程将能够以与所有运行过程相同的方式与主机系统上运行的所有过程进行交互,就像它们直接在主机上运行一样。”nsenter命令
nsenter
__curl
curl
wget
为了避免成为PerfCTL的下一个受害者,趋势的团队建议实施强大的访问控制和身份验证,并监视Docker Remote API服务器的任何异常行为。容器安全最佳实践