网络安全研究人员详细披露了一场恶意软件攻击活动,该活动采用一种此前未被记录的技术,针对 Docker 环境进行加密货币挖掘。
根据 Darktrace 和 Cado Security 的研究,与其他直接部署如 XMRig 等挖矿程序、非法利用计算资源获利的加密劫持活动不同,此次攻击活动发生了新变化。
此次攻击涉及部署一种恶意软件,该软件会连接到一个名为 Teneo 的新兴 Web3 服务平台。Teneo 是一个去中心化物理基础设施网络(DePIN),用户可以通过运行社区节点来获取公共社交媒体数据的收益,获得的奖励被称为 Teneo 积分,这些积分可兑换成 $TENEO 代币。
该节点本质上是一个分布式社交媒体数据采集器,用于从 Facebook、X(原推特)、Reddit 和 TikTok 等平台提取帖子内容。
对 Darktrace 蜜罐收集到的相关数据进行分析后发现,攻击始于一个从 Docker Hub 注册中心拉取 “kazutod/tene:ten” 容器镜像的请求。该镜像于两个月前上传,截至目前已被下载 325 次。
这个容器镜像旨在运行一个经过深度混淆处理的嵌入式 Python 脚本,该脚本需要经过 63 次解包操作才能还原出实际代码,而实际代码的作用是建立与 teneo [.] pro 的连接。
Darktrace 在与《黑客新闻》分享的一份报告中指出:“恶意软件脚本只是连接到 WebSocket 并发送心跳包,以此从 Teneo 获取更多积分,它并不进行任何实际的数据采集操作。从该平台的网站信息来看,大部分奖励都与执行的心跳次数挂钩,这很可能就是这种攻击方式奏效的原因。”
这场攻击活动让人联想到另一起恶意威胁事件,在那起事件中,配置错误的 Docker 实例被 9Hits Viewer 软件感染,该软件通过为特定网站引流来获取积分。
此次入侵手段也与其他诸如代理劫持等带宽共享攻击类似,这些攻击都是通过下载特定软件,利用未使用的网络资源来获取某种经济利益。
Darktrace 表示:“通常情况下,传统的加密劫持攻击依赖于使用 XMRig 直接挖掘加密货币,但由于 XMRig 很容易被检测到,攻击者正在转向其他获取加密货币的方法。这种新方法是否更有利可图还有待观察。”
就在这一消息披露之际,Fortinet FortiGuard Labs 披露了一个名为 RustoBot 的新僵尸网络。该僵尸网络利用 TOTOLINK(CVE-2022 – 26210 和 CVE-2022 – 26187)和 DrayTek(CVE-2024 – 12987)设备的安全漏洞进行传播,目的是发动分布式拒绝服务(DDoS)攻击。研究发现,这些攻击主要针对日本、越南和墨西哥的科技行业。
安全研究员 Vincent Li 表示:“物联网和网络设备通常是防护薄弱的端点,这使它们成为攻击者利用并传播恶意程序的诱人目标。加强端点监测和认证能够显著降低被攻击的风险,并有助于抵御恶意软件攻击活动。”
发表评论
您还未登录,请先登录。
登录