Coi chừng! Công cụ khai thác tiền điện tử nhắm mục tiêu Dockers, AWS và Alibaba Cloud

Công cụ khai thác tiền điện tử

LemonDuck, một botnet khai thác đa nền tảng, đang nhắm mục tiêu Docker để khai thác tiền điện tử trên các hệ thống Linux như một phần của chiến dịch phần mềm độc hại đang hoạt động.

CrowdStrike cho biết trong một báo cáo mới: “Nó chạy một hoạt động khai thác ẩn danh bằng cách sử dụng các nhóm proxy, vốn ẩn địa chỉ ví”. “Nó tránh bị phát hiện bằng cách nhắm mục tiêu vào dịch vụ giám sát của Alibaba Cloud và vô hiệu hóa nó.”

Được biết đến để tấn công cả môi trường Windows và Linux, LemonDuck chủ yếu được thiết kế để lạm dụng tài nguyên hệ thống để khai thác Monero. Nhưng nó cũng có khả năng thông tin xác thực, di chuyển ngang và tạo điều kiện triển khai các tải trọng bổ sung cho các hoạt động tiếp theo.

“Nó sử dụng một loạt các cơ chế lây lan – email lừa đảo, khai thác, thiết bị USB, bạo lực, trong số những cơ chế khác – và nó đã cho thấy rằng nó có thể nhanh chóng tận dụng các tin tức, sự kiện hoặc phát hành các khai thác mới để chạy các chiến dịch hiệu quả, “ đã nêu chi tiết trong một bản ghi kỹ thuật về phần mềm độc hại vào tháng 7 năm ngoái.

Vào đầu năm 2021, các chuỗi tấn công liên quan đến LemonDuck đã tận dụng các lỗ hổng Exchange Server sau đó mới được vá để giành quyền truy cập vào các máy Windows lỗi thời, trước khi tải xuống các cửa hậu và những kẻ đánh cắp thông tin, bao gồm cả Ramnit.

Xem tiếp:   Các nhà nghiên cứu lần theo dấu vết của các cuộc tấn công gián điệp trên diện rộng do các hacker 'Cicada' Trung Quốc thực hiện

Chiến dịch mới nhất được phát hiện bởi CrowdStrike tận dụng các API Docker bị lộ làm vectơ truy cập ban đầu, sử dụng nó để chạy một vùng chứa giả mạo nhằm truy xuất tệp tập lệnh Bash shell được ngụy trang dưới dạng tệp hình ảnh PNG vô hại từ máy chủ từ xa.

Một phân tích dữ liệu lịch sử cho thấy rằng các tập tin hình ảnh nhỏ giọt tương tự được lưu trữ trên các miền liên quan đến LemonDuck đã được kẻ đe dọa sử dụng ít nhất từ ​​tháng 1 năm 2021, công ty an ninh mạng lưu ý.

botnet khai thác tiền điện tử

Các tệp nhỏ giọt là chìa khóa để khởi động cuộc tấn công, với tập lệnh shell tải xuống tải trọng thực tế sau đó giết các quy trình cạnh tranh, vô hiệu hóa các dịch vụ giám sát của Alibaba Cloud và cuối cùng tải xuống và chạy công cụ khai thác tiền XMRig.

Với việc các phiên bản đám mây bị xâm phạm đang trở thành điểm nóng cho các hoạt động khai thác tiền điện tử bất hợp pháp, các phát hiện nhấn mạnh sự cần thiết phải bảo vệ các thùng chứa khỏi những rủi ro tiềm ẩn trong suốt chuỗi cung ứng phần mềm.

TeamTNT nhắm mục tiêu AWS, Alibaba Cloud

Tiết lộ được đưa ra khi Cisco Talos tiết lộ bộ công cụ của một nhóm tội phạm mạng có tên TeamTNT, có lịch sử nhắm mục tiêu vào cơ sở hạ tầng đám mây để tấn công tiền điện tử và đặt backdoor.

Xem tiếp:   Lỗi trình duyệt Apple Safari mới chưa được vá lỗi cho phép theo dõi người dùng trên nhiều trang web

botnet khai thác tiền điện tử

Các phần mềm độc hại, được cho là đã được sửa đổi để đáp ứng với các tiết lộ công khai trước đó, chủ yếu được thiết kế để nhắm mục tiêu Dịch vụ Web Amazon (AWS) đồng thời tập trung vào khai thác tiền điện tử, tính bền bỉ, chuyển động ngang và vô hiệu hóa các giải pháp bảo mật đám mây.

Nhà nghiên cứu Darin Smith của Talos cho biết: “Tội phạm mạng bị các nhà nghiên cứu bảo mật ruồng bỏ phải cập nhật các công cụ của chúng để tiếp tục hoạt động thành công.

“Các công cụ được TeamTNT sử dụng chứng minh rằng tội phạm mạng đang ngày càng thoải mái tấn công các môi trường hiện đại như Docker, Kubernetes và các nhà cung cấp đám mây công cộng, vốn có truyền thống tránh được các tội phạm mạng khác thay vào đó tập trung vào môi trường tại chỗ hoặc môi trường di động.”

Spring4Shell được khai thác để khai thác tiền điện tử

Đó không phải là tất cả. Trong một ví dụ khác về cách các tác nhân đe dọa nhanh chóng phối hợp các lỗ hổng mới được tiết lộ vào các cuộc tấn công của họ, lỗi thực thi mã từ xa quan trọng trong Spring Framework (CVE-2022-22965) đã được vũ khí hóa để triển khai các công cụ khai thác tiền điện tử.

Việc khai thác cố gắng sử dụng một trình bao web tùy chỉnh để triển khai các công cụ khai thác tiền điện tử, nhưng không phải trước khi tắt tường lửa và chấm dứt các quy trình khai thác tiền ảo khác.

Xem tiếp:   Mới mẻ

Các nhà nghiên cứu Nitesh Surana và Ashish Verma của Trend Micro cho biết: “Những công cụ khai thác tiền điện tử này có khả năng ảnh hưởng đến một số lượng lớn người dùng, đặc biệt là vì Spring là khuôn khổ được sử dụng rộng rãi nhất để phát triển các ứng dụng cấp doanh nghiệp trong Java”.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …