美国网络安全技术公司CrowdStrike在一份新报告中表示,LemonDuck通过使用隐藏钱包地址的代理池来进行匿名挖掘,并通过瞄准和禁用阿里云的监控服务来逃避检测。
LemonDuck以攻击Windows和Linux环境而出名,主要用于滥用系统资源来挖掘门罗币。但是它也能够进行盗取凭证、横向移动,并为后续活动部署额外的有效载荷。
微软在去年7月的恶意软件技术文章中详细介绍了该恶意软件,它使用网络钓鱼电子邮件、漏洞利用、USB设备、暴力破解等广泛的传播机制,可以快速利用新闻事件或新漏洞的发布来开展活动。
2021年初,涉及LemonDuck的攻击链利用当时新修补的ExchangeServer漏洞,获取对Windows机器的访问权限,然后下载后门和信息窃取程序,包括Ramnit木马。
美国网络安全技术公司CrowdStrike发现的最新活动利用Docker API来运行恶意容器,检索伪装成来自远程服务器的无害PNG图像文件的Bash shell脚本文件。该网络安全公司还指出,历史数据表明,至少从2021年1月起,威胁行为者就开始利用LemonDuck相关域上托管的图像文件来下载程序。
dropper文件是发起攻击的关键,shell脚本下载实际的有效载荷,然后杀死竞争进程,禁用阿里云的监控服务,最后下载并运行XMRig门罗币挖矿软件。
随着受损的云实例成为非法加密货币挖掘活动的温床,该调查结果强调了在整个软件供应链中保护容器免受潜在风险的必要性。
思科网络安全研究部门Talos披露了一个名为TeamTNT的网络犯罪组织的工具集,该组织曾针对云基础设施进行加密劫持和放置后门。
据说这些恶意软件有效负载已针对先前的公开披露进行了修改,主要针对亚马逊云计算服务AWS,同时专注于加密货币挖掘、横向移动和禁用云安全解决方案等。
Talos研究员Darin Smith表示,被安全研究人员发现的网络罪犯必须更新他们的工具才能继续成功运。TeamTNT使用的工具表明,网络犯罪分子越来越习惯于攻击Docker、Kubernetes和公共云提供商等现代环境,而其他网络犯罪分子通常会避开这些环境。
在另一个威胁参与者迅速将新披露的漏洞用于攻击的例子中,Spring Framework中的关键远程代码执行漏洞(CVE-2022-22965)已被用于部署加密货币挖掘程序。
该漏洞试图利用自定义webshell来部署加密货币挖掘程序,但必须先关闭防火墙并终止其他相关进程。
趋势科技研究人员Nitesh Surana和Ashish Verma说:“这些加密货币挖掘程序有可能影响大量用户,因为Spring是在开发企业级应用程序时使用最广泛的框架。”
12 月 15 日,在Web3.0 Cloud Day Singapore 2022 活动上,阿里云新加坡、南亚和泰国总经理 Dr Derek Wang 表示,阿里云将加速和伙伴的合作以促进创新。“我们正在与我们的合作伙...
头条 阿里云:香港可用区C某机房设备异常,工程师已在紧急处理中 Odaily星球日报讯 今日,阿里云发布公告称,阿里云监控发现香港地域某机房设备异常,影响香港地域可用区 C 的云服务器 ECS、云数据库 Pola...
财报显示,一季度,阿里巴巴集团的中国商业业务,凭借稳固的高质量消费群体,在复苏周期内快速企稳,实现收入136073亿元,同比微降3%。阿里巴巴国际业务表现亮眼,一季度国际商业业务收入同比增长29%至18541亿元。...
根据MystenLabs的一条推文,与阿里云的合作将推出一系列新服务,以支持Sui上现有和新的Move开发人员。sui(@Mysten_Labs)2024年1月23日这一消息发布之前,Sui生态系统在2022年10月主网...