专家发现,30个恶意码头图像,总数为2000万 拉扯 参与了隐秘的行动。
Palo Alto Network研究员Aviv Sasson发现了30个恶意Docker图像,下载了2000万次,参与了密码繁茂的操作。
专家确定通过检查采矿池的挖掘池帐户所挖掘的加密货币数量。专家发现的一半图像正在使用共享采矿池,他估计,威胁参与者在两年期间开采了价值200,000美元的加密货币。
“最简单的方式之一是加密 - 别人对矿井加密货币的非法使用别人的计算资源。容器图像被称为分发软件的简单方法,但恶意加密图像也是攻击者分配密码术的简单方法。” 读 Palo Alto大乐透走势图500期图发布的帖子。
“我决定采取广泛的观看Docker Hub,并发现了30个恶意图像,总数为2000万 拉扯 (这意味着图像下载了2000万次),共计占用价值200,000美元的密码速率运营。”
Docker Hub. is the world’最大的。集装箱图像的图书馆和社区。它包括来自软件供应商,开源项目和社区的超过100,000个容器图像。
在大多数攻击中,威胁演员采取了Monero Cryptocurrency(90,3%),但Sasson及其团队也发现了旨在矿物咧嘴笑容(咧嘴笑)(6,5%)或ARO(Aronium)(3,2%)加密货币的竞选活动。
在挖掘Monero的大多数攻击中,威胁演员使用了XMRIG矿工,但攻击者也滥用了 希尔德 and graboid. miners.
“在挖掘Monero的大多数攻击中,攻击者使用XMRIG,就像我们看到的那样 希尔德 and graboid.。 XMRIG是一个受欢迎的Monero矿工,是攻击者首选,因为它很容易使用,高效,最重要的是开源。因此,攻击者可以修改其代码。”继续报告。
“例如,大多数Monero Cryptominers强行捐赠他们的矿业时间百分比到矿工的开发人员。一个常见的修改攻击者使得将捐赠百分比更改为0。”
研究人员指出,集装箱注册表允许用户升级其图像并将新标记上传到注册表。标签用于引用相同图像的不同版本。
研究人员注意到,一些图像对于不同的CPU架构或操作系统具有不同的标签,以这种方式,攻击者可以为受害者的硬件选择最好的加密器。
所有标签都有共同的钱包地址或采矿池凭据,他们的分析允许专家将一些恶意账户与过去的密码攻击联系起来。
“云提出了密码攻击的大量机会。在我的研究中,我使用了仅检测简单的加密有效载荷的加密扫描仪。我还通过将钱包地址与之前的攻击相关联来确保任何已识别的图像都是恶意的。即使使用这些简单的工具,我也能够发现数百万拉的几十个图像。”总结专家。“我怀疑这种现象可能比我发现的那种更大,许多情况下,有效载荷不易检测到的情况。”
Palo Alto研究人员为这些攻击提供了妥协(IOC)的指标,以及他们发现的恶意Docker图像列表。
如果您想收到每周安全事务时事通讯免费订阅 这里.
在推特上关注我: @securityaffairs. 和 Facebook
皮奈里格帕加尼尼
国际主编
大乐透走势图500期图防御杂志
我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。