卡巴斯基报告显示，新型Linux恶意软件正在攻击不安全的Docker基础设施，将暴露的服务器转变为挖掘隐私币Dero的去中心化加密劫持网络。攻击利用公开的Docker API，生成恶意容器，窃取系统资源挖掘Dero，并扫描其他目标。恶意软件部署了名为“nginx”和“cloud”的Golang植入程序，前者伪装成Web服务器，后者实际挖掘Dero。受感染主机持续扫描互联网，寻找易受攻击的Docker节点，并部署新的受感染容器。该活动与2023-2024年针对Kubernetes集群的加密劫持活动有关联。

🚨 新型Linux恶意软件利用公开的2375端口Docker API，入侵不安全的Docker基础设施，将服务器变成Dero币的矿场。

⛏️ 恶意软件部署了伪装成“nginx”的扫描器和名为“cloud”的Dero挖矿程序，持续扫描互联网，寻找易受攻击的Docker节点。

🛡️ 为了逃避检测，恶意软件加密配置数据，包括钱包地址和Dero节点端点，并隐藏在合法系统软件的常用路径下。

🔄 该活动与2023-2024年针对Kubernetes集群的早期加密劫持活动有关联，表明这是一种已知操作的演变。

Foresight News 消息，根据网络安全公司卡巴斯基的报告，新发现的 Linux 恶意软件活动正在危害不安全的 Docker 基础设施，将暴露的服务器变成挖掘隐私币 Dero 的去中心化加密劫持网络的一部分。

此次攻击首先利用了 2375 端口上公开的 Docker API。一旦获得访问权限，该恶意软件就会生成恶意容器。它会感染已运行的容器，窃取系统资源来挖掘 Dero 恶意软件，并扫描其他目标，而无需中央命令服务器。从软件角度来说，docker 是一组应用程序或平台工具和产品，它们使用操作系统级虚拟化以称为容器的小包形式交付软件。该行动背后的威胁行为者部署了两个基于 Golang 的植入程序：一个名为「nginx」（故意伪装成合法的 Web 服务器软件），另一个名为「cloud」，它是用于生成 Dero 的实际挖掘软件。一旦主机受到攻击，nginx 模块就会持续扫描互联网以查找更易受攻击的 Docker 节点，并使用 Masscan 等工具识别目标并部署新的受感染容器。为了避免被发现，它会加密配置数据，包括钱包地址和 Dero 节点端点，并将自己隐藏在合法系统软件通常使用的路径下。卡巴斯基发现，2023 年和 2024 年针对 Kubernetes 集群的早期加密劫持活动中使用的钱包和节点基础设施相同，这表明这是一种已知操作的演变，而不是一种全新的威胁。

来源链接