网络安全研究人员详细披露了一起针对Docker环境的恶意软件攻击活动,该活动采用了一种此前未被记录的加密货币挖矿技术。据Darktrace与Cado Security分析,此攻击模式标志着加密货币劫持行动从直接部署XMRig等矿工程序非法利用计算资源,转向新型Web3基础设施攻击。
该恶意程序部署于名为Teneo的去中心化物理基础设施网络(DePIN)节点。Teneo允许用户通过运行社区节点(Community Node)将社交媒体数据货币化,用户可获得Teneo积分(Teneo Points),并兑换为$TENEO代币。此类节点实质上充当分布式社交媒体爬虫,从Facebook、X平台、Reddit及TikTok等平台抓取公开帖文。
从蜜罐中收集的工件的分析表明,攻击始于从Docker Hub注册表中启动容器映像“kazutod/tene:ten”的请求。该图像于两个月前上传,迄今已被下载325次。
容器映像旨在运行一个嵌入式Python脚本,该脚本被严重混淆,需要63次迭代才能解压缩实际代码,从而建立与teneo[.]pro的连接。
Darktrace在与The Hacker News分享的一份报告中表示:“恶意软件脚本只是连接到WebSocket并发送保活ping,以便从Teneo获得更多积分,而不会进行任何实际的抓取。”。“根据该网站,大多数奖励都是根据心跳次数来决定的,这可能就是这种方法奏效的原因。”
此次攻击与另一起恶意活动存在相似性:后者通过感染配置错误的Docker实例植入9Hits Viewer软件,通过流量引导至特定网站以获取积分。该入侵手法亦类似于代理劫持(proxyjacking)等带宽共享方案——通过下载特定软件共享闲置网络资源以换取经济收益。
Darktrace强调:“传统加密货币劫持依赖XMRig矿工程序,但因其高检测率,攻击者正转向替代性挖矿手段。此类新方法是否更具盈利性尚待观察。”
此次披露正值Fortinet FortiGuard Labs公布新型僵尸网络RustoBot之际。该恶意程序利用TOTOLINK(CVE-2022-26210与CVE-2022-26187)及DrayTek(CVE-2024-12987)设备漏洞传播,主要针对日本、台湾、越南及墨西哥的科技行业实施DDoS攻击。
安全研究员Vincent Li指出:“物联网与网络设备普遍存在防护薄弱问题,成为攻击者理想入侵目标。强化端点监控与认证机制可显著降低被利用风险,遏制此类恶意软件活动。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
