据外媒报道,自去年曝光最活跃的黑客组织 WatchDog 正在利用先进的黑客技术、恶意软件和安全规避技术开展新的加密劫持活动。
WatchDog攻击Docker引擎API端点和REDIS服务器,并从一个受影响的系统迅速传播到整个网络。据发现恶意活动的CADO实验室专家称,该组织的目标是利用不受保护的服务器资源挖掘加密货币,从而获得经济利益。
WatchDog通过端口2375破解配置不当的Docker引擎API端点来启动攻击,使黑客能够访问出厂设置中的保护进程。攻击者就可以创建列表并修改容器,并运行任意命令。攻击者先运行cronb.sh脚本检查主机的感染状态,然后创建进程列表,并为第二阶段攻击提取AR.SH有效负载。
攻击者再运行第二个脚本来拦截ps命令,执行隐藏shell脚本的进程。此外,它还会更改时间戳以迷惑安全研究人员。
这时候,XMRig 挖矿程序就会安装在受感染的机器上。
最后,攻击的有效载荷使用ZGRAB、Masscan和PNSCAN在网络中搜索有效点,并加载最后两个脚本以传播感染-C.SH和D.SH。
第一个脚本 c.sh 禁用 SELinux 并设置ulimit和iptables来连接网络上受感染的Redis服务器,同时禁用任何其他外部访问。
第二个脚本 d.sh 与第一个脚本类似,但它不是 Redis,而是攻击其他 Docker 引擎 API 端点,并将其感染到恶意的Alpine Linux容器中,该容器运行脚本进行初始访问cronb.sh。
