【安全资讯】暴露的Docker API遭攻击：新恶意软件活动部署“perfctl”

概要：

近期发现的一项网络攻击活动针对暴露的Docker远程API服务器，部署了名为perfctl的恶意软件。这一事件引发了对Docker环境安全的广泛关注，尤其是在容器化环境日益普及的背景下，攻击者利用这一漏洞进行系统渗透和控制。

主要内容：

根据Trend Micro的报告，攻击者首先通过发送ping请求探测易受攻击的Docker远程API服务器，确认其存在后，便开始执行进一步的恶意命令。攻击者创建Docker容器，通常使用如ubuntu:mantic-20240405的镜像，并配置为特权模式运行。通过使用“pid mode: host”，容器能够共享主机系统的进程ID（PID）命名空间，从而获得更高的权限，直接与主机进程交互。

在容器创建后，攻击者通过Docker Exec API执行Base64编码的有效载荷。该有效载荷包含两个关键部分：使用nsenter命令访问主机系统的命名空间，赋予攻击者根级别的控制权；生成一个名为kubeupd的脚本，设置环境变量并下载伪装成PHP扩展的恶意二进制文件。该二进制文件在下载后被用于进一步的恶意活动。

攻击者还采用了多种规避技术，例如通过检查已运行的恶意实例来防止重复进程，并设置持久性机制确保恶意软件即使在系统管理员尝试移除时仍然保持活跃。Trend Micro强调，暴露的Docker远程API服务器的利用已达到一个关键水平，组织及其安全专业人员必须对此给予高度重视。