首页 > 安全 > 正文

Lemon_duck加密僵尸网络目标Docker服务器

最后更新 :2022.04.22

Lemon_duck 加密僵尸网络将Docker服务器定位到Linux系统上的CryptoCurry。

Crowdstrikes研究人员报告说,Lemon_duck  Cryptomining僵尸网络将Docker定位到Linux系统上的挖掘加密货币。

首次由趋势科技的研究人员从趋势科技的同时瞄准企业网络的研究人员发现了Lemon_duck密码恶意软件。在第一次发现时,机器人通过Brute-Force攻击获得了对MS SQL服务的访问,并利用EternalBlue Exploit。后来的操作员添加到Lemon_duck矿工中,一个端口扫描模块,用于搜索用于SSH远程登录的22个TCP端口的Internet连接的Linux系统,然后启动SSH蛮力攻击。

另一个模块已实施以利用smbghost (cve-2020-0796)  windows smbv3client / server rce。

在被众人发现的广告系列中Lemon_duck僵尸网络获取访问未公开的Docker API,并运行一个伪装为PNG图像(Core.png)的Bash脚本的容器。

从域下载脚本T.m7n0y[。] COM,在其他LEMONDUCK攻击中观察到。

文件通过在容器内设置Linux CronJob来充当枢轴。接下来,这个cronjob下载另一个伪装的文件“a.asp”,它实际上是一个bash文件。读取Crowdstrikes发布的分析。“a.asp”文件是此攻击中的实际有效载荷。下载并启动挖掘操作之前需要几个步骤,然后由cronjob触发,如下所示。

bash文件(a.asp)执行以下操作:

基于名称杀死进程通过抓取守护程序进程IDS.deletes已知的折衷指标(IOC)文件路径击杀了已知的挖掘池,包括Crond,SSHD和Syslog,包括Crond,SSHD和Syslog,包括Crond,SSHD和Syslog。pt任何现有的操作.kills已知的网络连接。  bot还禁用Alibaba Cloud的监视服务和NBSP;一旦代理安装在主机或容器上,它用于检测云实例上的恶意活动。

在攻击链的最后阶段,“A.asp”文件下载并运行XMRIG矿工也与其配置一起运行。XMRIG使用的配置文件的分析显示使用密码处理代理池来隐藏运营商使用的钱包地址。

LemDoduck还通过在文件系统上搜索SSH键来执行横向移动。

而不是质量扫描公共IP范围,用于可利用攻击表面,LemDoduck尝试通过搜索文件系统上的SSH密钥来横向移动。这是这项运动的原因之一,这项运动并不明显,因为其他群体经营的其他采矿活动。结束了报告。找到SSH键后,攻击者使用这些登录服务器S并按照前面讨论的讨论进行恶意脚本。图10显示了文件系统上的SSH键。

个人(非商业)安全博客和Tech Whiz最佳技术博客和您选择的其他人。

提名,请访问:

https://docs.google.com/forms/d/e/1faipqlsfxxriscimz9qm9iipumqic-iom-npqmosfznjxrbqryjgcow / viewform

 

- END -

    数据加载中,请稍后...
看更多