【安全资讯】黑客利用Tor网络隐藏Docker API攻击活动

概要：

网络安全研究人员发现针对暴露Docker API的新型复杂攻击活动，攻击者通过Tor网络隐藏行踪并部署具备自我复制能力的恶意负载。这种攻击方式的演变表明从简单的机会主义利用发展为多向量威胁，可能为构建复杂僵尸网络奠定基础，对云基础设施安全构成严重威胁。

主要内容：

攻击者首先扫描暴露的Docker API端口(2375)，通过修改的Alpine Linux镜像发送容器创建请求。容器执行base64编码的shell命令，安装curl和tor工具，在后台启动Tor守护进程，并通过SOCKS5代理确认连接。

一旦Tor网络激活，容器从Tor隐藏服务下载并执行第二阶段shell脚本(docker-init.sh)。该脚本通过向挂载主机文件系统添加攻击者控制的公钥实现持久SSH访问，并设置每分钟执行一次的cron任务，使用可用防火墙工具阻断外部对端口2375的访问。

恶意软件随后下载Zstandard压缩的Go二进制文件，解压到/tmp/system并执行。该二进制文件作为投放器，提取并执行内嵌的第二阶段二进制文件，同时解析主机utmp文件识别登录用户。

该二进制文件还扫描其他暴露的Docker API，通过相同容器创建方法进行感染，并在获得访问权限后移除竞争对手容器。研究人员发现存在利用默认路由器凭证攻击Telnet端口(23)和与Chrome远程调试接口(端口9222)交互的非活跃逻辑，表明未来可能扩展为凭证窃取、浏览器会话劫持和DDoS攻击。