【安全资讯】新型恶意软件攻击 Docker 和 Kubernetes 挖矿

概要：

Datadog 安全研究部门最近发现了一场针对 Docker 和 Kubernetes 环境的新型恶意软件攻击。攻击者利用容器编排技术中的漏洞进行加密货币挖矿，已造成广泛影响。此次攻击揭示了云端环境中配置不当的风险，尤其是暴露在互联网的 Docker API 端点。

主要内容：

攻击者首先扫描互联网，寻找缺乏正确认证的 Docker API 端点，使用 masscan 和 zgrab 工具识别脆弱的 Docker 容器并执行恶意命令，生成新容器并破坏系统。这些被攻破的容器被用来部署 XMRig 挖矿软件，为攻击者的钱包挖掘 Monero（XMR）。关键的工具之一是 init.sh 初始化脚本，该脚本下载其他恶意负载并安装必要的传输工具，如 curl 和 wget，还部署了自定义进程隐藏工具以防被检测。

恶意软件不仅感染单个 Docker 实例，还通过一系列横向移动技术在云基础设施中传播，特别是针对 Docker 和 Kubernetes。kube.lateral.sh 和 spread_docker_local.sh 脚本扫描局域网中的开放端点，进一步传播恶意软件。感染的 Kubernetes 集群通过利用 Kubelet API 被进一步破坏，允许攻击者直接在集群内的容器上执行恶意代码，从而大规模增加挖矿操作。

此外，攻击者利用 Docker Hub 作为恶意负载的宿主和分发平台，使用名为 nmlmweb3 的用户发布含有恶意脚本的镜像。这些镜像被恶意软件下载并执行，进一步传播攻击。攻击者还操纵 Docker Swarm 环境，使受感染的 Docker 实例加入由攻击者控制的恶意 Swarm 网络，协同控制大量受感染主机作为挖矿僵尸网络的一部分。

此次攻击成功的关键在于利用云环境中常见的配置错误，使其迅速传播。每个被攻破的节点都为大规模的分布式挖矿操作贡献力量，持续为攻击者带来收益。云管理员必须确保正确的安全配置，使用 Docker API 认证，保护 Kubernetes 集群，并监控可疑活动，以防止此类攻击。