针对易受攻击的Docker和Kubernetes实例的新强制挖矿活动

针对脆弱的Docker和Kubernetes基础设施的新的强制挖矿运动已被揭露，这是旨在非法开采加密货币的机会主义攻击的一部分。

网络安全公司CrowdStrike称之为” Kiss – a -狗”活动，其指挥和控制基础设施与与TeamTNT等其他团体有关的基础设施重叠，这些团体已知会打击配置错误的Docker和Kubernetes实例。

在2022年9月发现的入侵，从一个名为” kiss.a-dog [ . ] top “的域中获得它们的名称，该域使用Base64编码的Python命令在受损的容器上触发一个Shell脚本负载。

CrowdStrike研究员Manoj Ahuje在技术分析中说：”在有效载荷中使用的URL被反斜杠模糊，以失败自动解码和regex匹配来检索恶意域。”

攻击链随后试图逃离容器并横向移动到被破坏的网络中，同时采取步骤终止和移除云监控服务。

作为逃避检测的额外方法，该活动利用海洛英和lib processhide rootkits向用户隐藏恶意进程，后者被编译为共享库，其路径被设置为LD _ PRELOAD环境变量的值。

  Ahuje说，这使得攻击者可以将恶意的共享库注入到在受损容器上产生的每个进程中。

该运动的最终目标是使用XMRig挖掘软件来隐秘地挖掘加密货币，并将Redis和Docker实例用于挖掘和其他后续攻击。

阿胡杰指出，随着加密货币价格的下跌，这些活动在过去几个月里一直处于低迷状态，直到去年10月推出多个活动。

来自Sysdig的研究人员也发现了另一个复杂的加密挖掘操作PURPLEURCHIN，它利用GitHub、Heroku和Buddy [ . ]中分配给免费试用帐户的计算来衡量攻击。

据说多达30个GitHub帐户、2000个Heroku帐户和900个Buddy帐户被用于自动劫持活动。

该攻击需要创建一个由参与者控制的GitHub帐户，每个帐户都包含一个存储库，该存储库拥有一个GitHub Action，通过启动Docker Hub映像来运行挖掘操作。

研究人员说：”使用免费帐户将运行密码器的成本转移给服务提供商。”然而，与许多欺诈案件一样，滥用自由账户也会影响他人。提供商较高的费用将导致其合法客户的价格较高。