随着越来越多的企业将工作负载转移到云环境,Linux威胁变得越来越普遍,网络犯罪分子已经设计出新的工具和技术来对Linux基础架构发起攻击。
他们经常采用的一种技术是扫描可公开访问的Docker服务器,然后滥用配置错误的Docker API端口来设置自己的容器并在受害者的基础设施上执行恶意软件。该Ngrok僵尸网络就是利用这种技术和最长的持续攻击活动的一个新的报告从Intezer实验室显示,只需要一个新的配置错误泊坞服务器几个小时被这项运动所感染。
不过,最近,该公司检测到一种新的恶意软件有效载荷,他们将其称为Doki,与通常在这种攻击中部署的通常的加密矿工不同。Doki与其他恶意软件的不同之处在于,它利用Dogecoin API来确定其操作员的命令和控制(C&C)服务器的URL。
尽管Doki的样本已在VirusTotal中公开提供,但该恶意软件已成功地隐藏在阴影中且六个月未被发现。
一旦黑客滥用Docker API在公司的云基础架构中部署新服务器,运行Alpine Linux版本的服务器就会被加密挖矿恶意软件和Doki感染。
根据Intezer的研究人员的说法,Doki的目的是允许黑客对他们劫持的服务器进行主要控制,确保其加密挖掘操作得以继续。但是,新恶意软件与其他后门特洛伊木马有所不同,通过使用Dogecoin API来确定接收新指令所需连接的C&C服务器的URL。
Doki使用Dogecoin API使用动态算法来确定C&C地址。Ngrok僵尸网络的操作员还可以通过在他们控制的Dogecoin钱包内进行一次交易,轻松地更改恶意软件从其接收命令的服务器。
如果DynDNS碰巧收到有关当前Doki C&C URL的滥用报告,并且该站点已被关闭,则网络犯罪分子仅需要进行新交易,确定子域值并设置新的DynDNS帐户并声明该子域的所有权。这种巧妙的策略可以防止企业甚至执法部门拆除Doki的后端基础架构,因为它们首先需要从Ngrok手中接管Dogecoin钱包。
点击阅读全文
