使用更新后的规避策略进行持续自动加密挖矿软件的攻击

29号发表的新研究显示，正在进行的加密采矿活动已经升级了其武器库，同时发展了其防御规避策略，使威胁行为者能够隐藏入侵并在安全雷达下运行。

自2019年首次被发现以来，迄今为止共记录了针对其蜜罐服务器的84次攻击，其中四次发生在2021年，根据DevSecOps和云安全公司Aqua Security的研究人员的说法，他们在过去三年中一直在跟踪恶意软件的操作。也就是说，仅在2021年第三季度，就发现了125起袭击事件，这表明袭击并没有放缓。

最初的攻击涉及在运行名为"alpine：latest"的普通映像时执行恶意命令，导致下载名为"autom.sh"的shell脚本。

"攻击者通常使用香草图像以及恶意命令来执行攻击，因为大多数组织信任官方图像并允许其使用，"研究人员在与黑客新闻分享的一份报告中说。"多年来，添加到官方形象中以进行攻击的恶意命令几乎没有变化。主要区别在于从中下载 autom.sh 的 shell 脚本的服务器。

shell脚本启动攻击序列，使攻击者能够以名称"akay"创建一个新的用户帐户，并将其权限升级到root用户，使用该命令在受感染的计算机上运行任意命令，目的是挖掘加密货币。

尽管2019年该活动的早期阶段没有采用特殊技术来隐藏采矿活动，但后来的版本显示了其开发人员为使其在检测和检查中不可见而采取的极端措施，其中最主要的是能够禁用安全机制并检索经过Base64编码的混淆采矿外壳脚本五次以绕过安全工具。


为劫持计算机以挖掘加密货币而进行的恶意软件活动已被多个威胁行为者所主导，例如Kinsing，它被发现扫描互联网以查找配置错误的Docker服务器，以闯入未受保护的主机并安装以前未记录的硬币矿工菌株。


最重要的是，一个名为TeamTNT的黑客组织被观察到攻击不安全的Redis数据库服务器，阿里巴巴弹性计算服务（ECS）实例，暴露的Docker API和易受攻击的Kubernetes集群，以便在目标主机上以root权限执行恶意代码，以及部署加密货币挖掘有效载荷和凭据窃取者。此外，受感染的Docker Hub帐户还被用来托管恶意图像，然后用于分发加密货币矿工。

"矿工是网络犯罪分子将漏洞转化为数字现金的低风险方式，其现金流的最大风险是竞争矿工发现相同的易受攻击的服务器，"Sophos高级威胁研究员Sean Gallagher在对Tor2Mine采矿活动的分析中指出，该活动涉及使用PowerShell脚本来禁用恶意软件保护， 执行矿工有效负载，并获取 Windows 凭据。

最近几周，Log4j日志记录库中的安全漏洞以及Atlassian Confluence，F5 BIG-IP，VMware vCenter和Oracle WebLogic Servers中新发现的漏洞已被滥用，以接管机器来挖掘加密货币，这种计划被称为加密劫持。本月早些时候，网络附加存储（NAS）设备制造商QNAP警告称，针对其设备的加密货币挖掘恶意软件可能占总CPU使用率的50%左右。

"Autom活动表明，攻击者正变得越来越复杂，不断改进他们的技术以及他们避免被安全解决方案检测到的能力，"研究人员说。为了防范这些威胁，建议监视可疑的容器活动，执行动态映像分析，并定期扫描环境中是否存在配置错误问题。