名为Commando Cat 的威胁行为者与正在进行的加密劫持攻击活动有关,该攻击活动利用安全性较差的 Docker 实例部署加密货币矿工以获取经济利益。
趋势科技研究人员 Sunil Bharti 和 Shubham Singh在周四的分析中表示: “攻击者使用 cmd.cat/chattr docker 镜像容器从他们自己的命令和控制 (C&C) 基础设施中检索有效负载。”
Commando Cat 因其使用开源 Commando 项目生成良性容器而得名,今年早些时候由 Cado Security首次记录。
这些攻击的特点是针对配置错误的 Docker 远程 API 服务器来部署名为 cmd.cat/chattr 的 Docker 镜像,然后以此为基础实例化容器并使用 chroot 命令突破其限制,从而获得对主机操作系统的访问权限。
最后一步是使用 curl 或 wget 命令通过 shell 脚本从 C&C 服务器 (“leetdbs.anondns[.]net/z”) 检索恶意挖矿程序二进制文件。该二进制文件被怀疑是ZiggyStarTux,一个基于 Kaiten (又名 Tsunami) 恶意软件的开源 IRC 机器人。
研究人员表示:“这次攻击活动的意义在于它使用 Docker 镜像在受感染的系统上部署加密劫持脚本。这种策略允许攻击者利用 Docker 配置中的漏洞,同时逃避安全软件的检测。”