网络僵尸利用阿里云、AWS、Docker挖矿！

美国网络安全技术公司CrowdStrike在一份新报告中表示，LemonDuck通过使用隐藏钱包地址的代理池来进行匿名挖掘，并通过瞄准和禁用阿里云的监控服务来逃避检测。

LemonDuck以攻击Windows和Linux环境而出名，主要用于滥用系统资源来挖掘门罗币。但是它也能够进行盗取凭证、横向移动，并为后续活动部署额外的有效载荷。

微软在去年7月的恶意软件技术文章中详细介绍了该恶意软件，它使用网络钓鱼电子邮件、漏洞利用、USB设备、暴力破解等广泛的传播机制，可以快速利用新闻事件或新漏洞的发布来开展活动。

2021年初，涉及LemonDuck的攻击链利用当时新修补的ExchangeServer漏洞，获取对Windows机器的访问权限，然后下载后门和信息窃取程序，包括Ramnit木马。

美国网络安全技术公司CrowdStrike发现的最新活动利用Docker API来运行恶意容器，检索伪装成来自远程服务器的无害PNG图像文件的Bash shell脚本文件。该网络安全公司还指出，历史数据表明，至少从2021年1月起，威胁行为者就开始利用LemonDuck相关域上托管的图像文件来下载程序。

dropper文件是发起攻击的关键，shell脚本下载实际的有效载荷，然后杀死竞争进程，禁用阿里云的监控服务，最后下载并运行XMRig门罗币挖矿软件。

随着受损的云实例成为非法加密货币挖掘活动的温床，该调查结果强调了在整个软件供应链中保护容器免受潜在风险的必要性。

思科网络安全研究部门Talos披露了一个名为TeamTNT的网络犯罪组织的工具集，该组织曾针对云基础设施进行加密劫持和放置后门。

据说这些恶意软件有效负载已针对先前的公开披露进行了修改，主要针对亚马逊云计算服务AWS，同时专注于加密货币挖掘、横向移动和禁用云安全解决方案等。

Talos研究员Darin Smith表示，被安全研究人员发现的网络罪犯必须更新他们的工具才能继续成功运。TeamTNT使用的工具表明，网络犯罪分子越来越习惯于攻击Docker、Kubernetes和公共云提供商等现代环境，而其他网络犯罪分子通常会避开这些环境。

在另一个威胁参与者迅速将新披露的漏洞用于攻击的例子中，Spring Framework中的关键远程代码执行漏洞（CVE-2022-22965）已被用于部署加密货币挖掘程序。

该漏洞试图利用自定义webshell来部署加密货币挖掘程序，但必须先关闭防火墙并终止其他相关进程。

趋势科技研究人员Nitesh Surana和Ashish Verma说：“这些加密货币挖掘程序有可能影响大量用户，因为Spring是在开发企业级应用程序时使用最广泛的框架。”