Trang chủTin tức* Kẻ tấn công đang khai thác các API Docker được cấu hình sai để khai thác tiền điện tử trong các môi trường đám mây.
Họ sử dụng mạng Tor để ẩn danh các hoạt động của mình trong khi triển khai các thợ mỏ tiền điện tử.
Kẻ tấn công truy cập, tạo các container mới và gắn các thư mục hệ thống quan trọng, làm gia tăng rủi ro thoát container.
Cuộc tấn công bao gồm việc cài đặt các công cụ và kịch bản để thiết lập quyền truy cập từ xa, thu thập dữ liệu và cài đặt trình khai thác XMRig.
Các phát hiện gần đây cho thấy hàng trăm thông tin đăng nhập bị rò rỉ trong các kho mã công khai, khiến các công ty đối mặt với những rủi ro cao hơn.
Một chiến dịch tích cực đang nhắm đến các phiên bản Docker cấu hình sai để bí mật khai thác tiền điện tử, theo những phát hiện của các nhà nghiên cứu Trend Micro được công bố vào tháng 6 năm 2025. Các kẻ tấn công được cho là đã khai thác các API Docker cấu hình sai, sử dụng mạng Tor để giữ ẩn danh khi họ triển khai các công cụ khai thác tiền điện tử lên các container bị tổn thương trên đám mây.
Quảng cáo - Các nhà nghiên cứu quan sát rằng cuộc tấn công thường bắt đầu bằng một yêu cầu đến API Docker để lấy danh sách các container trên máy chủ. Nếu không có container nào tồn tại, những kẻ tấn công sẽ tạo một container mới sử dụng hình ảnh "alpine" và gắn thư mục gốc của hệ thống máy chủ như một volume chia sẻ. Bước này có thể cho phép những kẻ tấn công vượt qua sự cách ly của container và truy cập tệp trên máy chủ, làm tăng nguy cơ xâm phạm hệ thống rộng hơn.
Trend Micro tuyên bố rằng sau khi thiết lập một container mới, những kẻ tấn công chạy một tập lệnh shell được mã hóa Base64 để cài đặt Tor trong container. Sau đó, họ tải xuống và thực thi một tập lệnh từ xa được lưu trữ trên địa chỉ .onion, sử dụng các công cụ và cài đặt như "socks5h" để định tuyến tất cả lưu lượng truy cập qua Tor. Theo các nhà nghiên cứu, "Nó phản ánh một chiến thuật phổ biến được những kẻ tấn công sử dụng để che giấu cơ sở hạ tầng (C và C) chỉ huy và kiểm soát, tránh bị phát hiện và cung cấp Phần mềm độc hại hoặc thợ đào trong môi trường đám mây hoặc container bị xâm phạm"* nói thêm rằng phương pháp này làm phức tạp nỗ lực truy tìm nguồn gốc của cuộc tấn công.
Khi môi trường được thiết lập, những kẻ tấn công sẽ triển khai một tập lệnh shell có tên "docker-init.sh". Tập lệnh này kiểm tra xem thư mục "/hostroot" có được gắn kết hay không, thay đổi cấu hình SSH để cho phép đăng nhập root và thêm khóa SSH của kẻ tấn công để truy cập trong tương lai. Các công cụ bổ sung, chẳng hạn như masscan và torsocks, được cài đặt, cho phép những kẻ tấn công quét mạng và tiếp tục trốn tránh sự phát hiện. Cuộc tấn công lên đến đỉnh điểm với việc cài đặt một công cụ khai thác tiền điện tử XMRig, được cấu hình với địa chỉ ví và nhóm khai thác do các tác nhân đe dọa kiểm soát.
Trend Micro lưu ý rằng hoạt động này chủ yếu nhắm vào các lĩnh vực công nghệ, tài chính và chăm sóc sức khỏe. Công ty cũng nhấn mạnh một rủi ro bảo mật liên quan sau khi Wiz phát hiện ra rằng hàng trăm thông tin đăng nhập nhạy cảm đã xuất hiện trong các kho lưu trữ công khai, bao gồm các tệp trong sổ ghi chép Python và tệp cấu hình ứng dụng, với các tổ chức bị ảnh hưởng từ các công ty khởi nghiệp đến các công ty Fortune 100**. Các nhà nghiên cứu cảnh báo rằng kết quả từ việc thực thi mã trong sổ ghi chép Python được chia sẻ có thể tiết lộ thông tin có giá trị cho những kẻ tấn công có khả năng liên kết nó trở lại nguồn của họ.
Xu hướng này nhấn mạnh tầm quan trọng của việc bảo mật môi trường đám mây và container, đặc biệt khi các kẻ tấn công tiếp tục tự động hóa các lỗ hổng và tìm kiếm thông tin xác thực bị lộ trên các kho mã công khai.
Bài viết trước:
Mastercard tham gia Mạng Lưới Đô-la Toàn cầu của Paxos để thúc đẩy stablecoin
Thị Trường Crypto Tăng Trưởng Khi Trump Dàn Xếp Lệnh Ngừng Bắn Giữa Iran-Israel
Cục Dự trữ Liên bang Loại bỏ ‘Rủi ro Danh tiếng’ trong Giám sát Ngân hàng
Các quan chức Fort Myers siết chặt việc xử lý các cuộc lừa đảo ATM tiền điện tử gia tăng đối với người cao tuổi
ETH Tăng 8% Sau Khi Trump Công Bố Ngừng Bắn Giữa Israel và Iran
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Kẻ tấn công lạm dụng Docker APIs và Tor để phát động cuộc tấn công tiền điện tử trên đám mây
Trang chủTin tức* Kẻ tấn công đang khai thác các API Docker được cấu hình sai để khai thác tiền điện tử trong các môi trường đám mây.
Trend Micro tuyên bố rằng sau khi thiết lập một container mới, những kẻ tấn công chạy một tập lệnh shell được mã hóa Base64 để cài đặt Tor trong container. Sau đó, họ tải xuống và thực thi một tập lệnh từ xa được lưu trữ trên địa chỉ .onion, sử dụng các công cụ và cài đặt như "socks5h" để định tuyến tất cả lưu lượng truy cập qua Tor. Theo các nhà nghiên cứu, "Nó phản ánh một chiến thuật phổ biến được những kẻ tấn công sử dụng để che giấu cơ sở hạ tầng (C và C) chỉ huy và kiểm soát, tránh bị phát hiện và cung cấp Phần mềm độc hại hoặc thợ đào trong môi trường đám mây hoặc container bị xâm phạm"* nói thêm rằng phương pháp này làm phức tạp nỗ lực truy tìm nguồn gốc của cuộc tấn công.
Khi môi trường được thiết lập, những kẻ tấn công sẽ triển khai một tập lệnh shell có tên "docker-init.sh". Tập lệnh này kiểm tra xem thư mục "/hostroot" có được gắn kết hay không, thay đổi cấu hình SSH để cho phép đăng nhập root và thêm khóa SSH của kẻ tấn công để truy cập trong tương lai. Các công cụ bổ sung, chẳng hạn như masscan và torsocks, được cài đặt, cho phép những kẻ tấn công quét mạng và tiếp tục trốn tránh sự phát hiện. Cuộc tấn công lên đến đỉnh điểm với việc cài đặt một công cụ khai thác tiền điện tử XMRig, được cấu hình với địa chỉ ví và nhóm khai thác do các tác nhân đe dọa kiểm soát.
Trend Micro lưu ý rằng hoạt động này chủ yếu nhắm vào các lĩnh vực công nghệ, tài chính và chăm sóc sức khỏe. Công ty cũng nhấn mạnh một rủi ro bảo mật liên quan sau khi Wiz phát hiện ra rằng hàng trăm thông tin đăng nhập nhạy cảm đã xuất hiện trong các kho lưu trữ công khai, bao gồm các tệp trong sổ ghi chép Python và tệp cấu hình ứng dụng, với các tổ chức bị ảnh hưởng từ các công ty khởi nghiệp đến các công ty Fortune 100**. Các nhà nghiên cứu cảnh báo rằng kết quả từ việc thực thi mã trong sổ ghi chép Python được chia sẻ có thể tiết lộ thông tin có giá trị cho những kẻ tấn công có khả năng liên kết nó trở lại nguồn của họ.
Xu hướng này nhấn mạnh tầm quan trọng của việc bảo mật môi trường đám mây và container, đặc biệt khi các kẻ tấn công tiếp tục tự động hóa các lỗ hổng và tìm kiếm thông tin xác thực bị lộ trên các kho mã công khai.
Bài viết trước: