Botnet mới khác thác tiền điện tử nhờ các container Docket

Một mạng botnet mới bao gồm các máy chủ Microsoft Exchange bị xâm nhập đang khai thác tiền điện tử cho các nhà khai thác của nó, báo cáo đề xuất. 

Xem thêm tại:

• Docker Là Gì? Docker Khác Biệt Thế Nào So Với VPS?

• SSH là gì? Mọi kiến thức cần biết về kỹ thuật bảo mật SSH

• Nâng cấp lên phiên bản React Native mới

Theo các nhà nghiên cứu từ công ty bảo mật CrowdStrike, một kẻ đe dọa chưa xác định đang sử dụng botnet khai thác tiền điện tử LemonDuck để nhắm mục tiêu vào các máy chủ thông qua ProxyLogon. 

Bằng cách tìm kiếm các API Docker bị lộ để có quyền truy cập ban đầu, những kẻ tấn công sau đó có thể chạy vùng chứa độc hại bằng cách sử dụng Docker ENTRYPOINT tùy chỉnh để tải xuống tệp hình ảnh “core.png”, tệp này ngụy trang cho tập lệnh Bash.

Khai thác Monero

Sau khi giành được quyền truy cập ban đầu, những kẻ tấn công có thể thực hiện một số hành động: lạm dụng EternalBlue, BlueKeep hoặc các khai thác tương tự để leo thang đặc quyền, cài đặt các công cụ khai thác tiền điện tử và di chuyển ngang qua các mạng bị xâm nhập qua các docket là gì.

Họ cũng có thể cài đặt các tệp cho phép họ tránh bị bất kỳ phần mềm chống vi-rút nào phát hiện hoặc phần mềm độc hại malware quét phần mềm được cài đặt trên các thiết bị đầu cuối bị xâm phạm .

Trong số tất cả các công cụ khai thác tiền điện tử khác nhau, những kẻ tấn công chủ yếu sử dụng XMRig để khai thác Monero, loại tiền điện tử hướng đến quyền riêng tư được cho là khó theo dõi hơn. 

Các nhà nghiên cứu giải thích thêm rằng Lemon Duck đi kèm với một tệp có tên “a.asp”, có khả năng vô hiệu hóa dịch vụ aliyun trên Cloud Server của Alibaba, và do đó tránh bị phát hiện, tránh bị đánh cáp qua docket.

Về lý do tại sao chiến dịch không được phát hiện sớm hơn, các nhà nghiên cứu lưu ý rằng các tác nhân đe dọa không quét hàng loạt dải IP công cộng để tìm các bề mặt tấn công có thể khai thác chạy trên các docket là gì, mà di chuyển ngang qua Lemon Duck, tìm kiếm các khóa SSH trên hệ thống tệp. Sau khi tìm thấy các khóa SSH, chúng sẽ sử dụng chúng để đăng nhập vào máy chủ và chạy tất cả các tập lệnh độc hại nói trên. 

Công cụ khai thác tiền điện tử đã trở nên cực kỳ phổ biến trong vài năm gần đây, với việc giá tiền điện tử ngày càng tăng và việc chúng có thể được bán dễ dàng trên thị trường đã thu hút sự chú ý của cả những kẻ trung thực và không trung thực.

• Giữ cho thiết bị của bạn không bị nhiễm mã độc tống tiền bằng các dịch vụ bảo vệ mã độc tống tiền tốt nhất hiện nay