在過去幾年中，加密貨幣的快速發展導致了加密貨幣價格的飆升。這也導致了網絡攻擊者尋找快速獲取財富的機會，加密貨幣挖礦活動也隨之上升。根據2021年11月29日公布的Google Threat Horizon報告，86%的受感染Google Cloud案例被用來進行加密貨幣挖掘。

CrowdStrike Cloud Threat Research精英團隊發現，LemonDuck正在使用Docker在Linux服務平臺上進行加密貨幣挖掘。該廣告宣傳系列目前處于激活狀態。

LemonDuck是一個知名的挖礦僵尸網絡，它使用ProxyLogon以及應用EternalBlue、 BlueKeep等進攻Microsoft Exchange網絡服務器進行加密貨幣挖掘，并提升管理權限，橫著挪動。該僵尸網絡嘗試根據各種與之同時進行的操作來將其勞動貨幣化安置，以挖掘像Monero等加密貨幣。

什么是Docker API泄露？

Docker是一個服務平臺，用于構建、運行和管理方法容器化工作載荷。Docker提供了許多API來協助開發人員完成自動化技術，這種API可以采用本地Linux tcp協議或xinetd（默認設置端口號為2375）提供。由于Docker主要用于在云間運作容器工作載荷，因此在配備異常的云案例中，Docker API極有可能暴露給互聯網技術。隨后，網絡攻擊者可以使用此API在其控制的玻璃容器內運行加密貨幣挖礦。除此之外，網絡攻擊者可以通過濫用管理權限和不正確的配備來躲避已經運行的容器，還可以利用運行容器時發現的多個系統漏洞，如Docker、Containerd和CRI-O。

Cr8escape是CrowdStrike在CRI-O中發現的這種漏洞的一個實例。

LemonDuck對Docker的基本攻擊

LemonDuck以公布的Docker API為總體目標以獲得原始訪問限制。它利用自定義的Docker ENTRYPOINT免費下載裝扮成Bash腳本制作的“core.png”位圖文件，運行故意的容器。在圖1中，您可以看到原始的故意通道點。

LemonDuck是一個平臺的加密貨幣挖掘僵尸網絡，它的總體目標是在Linux系統軟件上使用Docker進行加密貨幣挖掘，”CrowdStrike在一份新報告中說。“它利用對阿里云的監控服務并禁止使用它來躲避檢驗。”

LemonDuck以攻擊Windows和Linux環境而聞名，并旨在利用服務器資源來挖掘Monero。但是，它也可以進行憑據竊取、橫向運動，并部署附加有效載荷以進行后續活動。

“它使用廣泛的傳播方式-釣魚電子郵件、漏洞掃描、USB設備、暴力破解密碼等-它已經顯示出它可以迅速利用新聞報道、事件或新系統漏洞的推送來進行合理有效的活動，”微軟公司在去年7月的惡意軟件報告中介紹了該惡意軟件。

今年初，涉及LemonDuck的攻擊鏈利用當時新修復的Exchange Server漏洞來攻擊過時的Windows設備，然后免費下載后門和信息內容竊取程序，包括Ramnit。

CrowdStrike發現，最新的優惠運用了曝露的Docker API作為原始瀏覽空間向量，并使用它來運行一個故意的容器來查找源自虛擬服務器的“偽裝”PNG位圖文件的Bash shell腳本文件。

該網絡信息安全公司強調，對歷史時間數據的分析說明，至少從2021年1月至今，使用LemonDuck相關域的類似位圖文件安全泄漏漏洞已被攻擊者利用。

dropper文檔對于攻擊至關重要，shell腳本下載特定的有效載荷，然后殺死競爭過程，禁止使用阿里云的監控服務，并最終免費下載和運行XMRig加密貨幣礦工。

隨著云案例變得越來越普遍，成為惡意加密貨幣挖掘活動的溫床，調查報告著重于維護容器免遭所有軟件供應鏈管理潛在風險的重要性。

TeamTNT針對AWS、阿里云

思科交換機Talos發布了一個名為TeamTNT的網絡詐騙機構的工具箱，該機構歷史上曾在云基礎設施中進行數據加密挾持和植入后門。

據悉，該惡意軟件有效負載已針對此前公布的措施進行了更改，重點針對Amazon Web Services（AWS），同時致力于挖掘加密貨幣、持續性、橫向移動和抵制互聯網安全解決方案。“被安全科技企業查出來的互聯網犯罪嫌疑人需要升級她們的軟件才能再次取得運行成功的機會，”Talos研究者DarinSmith說。

“TeamTNT使用的專用工具表明，互聯網犯罪嫌疑人越來越習慣于攻擊Docker、Kubernetes和公共云服務提供商等現代環境，而其他互聯網犯罪嫌疑人傳統上會防止這種環境，而是致力于內部基

熱點：加密貨幣 加密貨幣礦工 阿里云