网络安全研究员发现了新的恶意软件活动，专门攻击遭公开的 Docket API 端点，目的是传播密币矿机和其它 payload。

云分析平台 Datadog 在上周发布的报告中提到，该恶意软件部署的工具中包括一款远程访问工具，它能够下载并执行更多恶意程序，并作为通过SSH 传播该恶意软件。

分析发现，该恶意软件活动和此前被称为 “Spinning YARN” 的活动之间存在技术重合之处。后者攻击配置不当的 Apache Hadoop YARN、Docker、Atlassian Confluence 和 Redis 服务，以挖掘密币。攻击者首先通过被暴露的端口2375入侵 Docker 服务器，发起一系列动作如首先侦查和提权，之后进行利用。

研究人员指出，通过执行名为 “vurl” 的shell 脚本，从受攻击者控制的基础设施中检索 payload。名为 “b.sh” 的另外一款 shell 脚本打包基于 Base64 的二进制 “vurl” 并负责提取和启动第三个 shell 脚本 “ar.sh”（或 “ai.sh”）。研究员 Matt Muir 表示，“’b.sh’ 脚本解码并将该二进制提取到 /usr/bin/vurl，覆写现有的 shell 脚本版本。该二进制不同于shell脚本版本，因为它使用了硬编码的控制和命令域名。”

Shell 脚本 “ar.sh”执行多种动作，包括设置工作目录、安装工具以扫描互联网中的易受攻击主机、禁用防火墙并最终提取下一阶段payload “chkstart”。如vurl 的Golang 二进制的主要目标是将主机配置为远程访问并从远程服务器提取其它工具如 “m.tar” 和 “top”等。

Muir 解释称，“在最初的 Spinning YARN 攻击活动中，chkstart 的很多功能由 shell 脚本处理。将该功能转移到 Go 代码说明攻击者尝试将分析流程复杂化，因为对编译代码的静态分析要比 shell 脚本更为困难。”和 “chkstart” 一起下载的还有其他两个 payload：第一个是 exeremo，用于横向移动到更多的主机并传播感染；第二个是 fkoths，它是基于 Go 的ELF 二进制，用于擦除恶意活动的痕迹并躲避分析。“Exeremo” 的目的还包括释放 shell 脚本 “s.sh”，安装多种扫描工具如 pnscan、masscan和自定义Docker 扫描器 “sd/httpd”以标记可疑的系统。

Muir 表示，“Spinning YARN 活动的更新表明攻击者继续攻击配置不当的 Docker 主机以获取初始访问权限的意愿。攻击者通过将功能迁移到 Go持续迭代所部署的 payload，说明它正在拦截分析流程或者尝试多架构构建。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~