محققان امنیت سایبری کمپین جدیدی را کشف کردهاند که Docker Engine API را هدف قرار میدهد تا نمونههای آسیبپذیر را برای پیوستن به یک Docker Swarm مخرب که توسط عامل تهدید کنترل میشود، هدف قرار دهد.
محققان Datadog در تحلیلی گفتند که این مهاجمان را قادر میسازد تا از ویژگیهای Docker Swarm برای اهداف فرمان و کنترل (C2) استفاده کنند. این حملات از Docker به منظور دسترسی اولیه جهت استقرار یک ماینر رمز ارز در کانتینرهای در معرض خطر استفاده میکند، در حالی که payloadهای اضافی را که مسئول انجام حرکت جانبی به میزبان های مرتبط با Docker، Kubernetes یا SSH هستند، دریافت و اجرا میکند. این شامل شناسایی نقاط پایانی Docker API احراز هویت نشده و در معرض اینترنت با استفاده از ابزارهای اسکن اینترنتی، مانند masscan و ZGrab است.
در حال حاضر مشخص نیست که چه کسی پشت این کمپین حمله است، اگرچه تاکتیکها، تکنیکها و رویههای نشان داده شده با گروههای تهدید معروف به نام TeamTNT همپوشانی دارند. همانند سایر کمپینهای cryptojacking، از روتکیت libprocesshider برای مخفیسازی فرآیند ماینر مخرب از کاربر هنگام اجرای ابزارهای شمارش فرآیند مانند top و ps استفاده میکند.
https://thehackernews.com/2024/10/new-cryptojacking-attack-targets-docker.html
