基于 TOR 的加密劫持攻击通过错误配置的 Docker API 扩大

网络安全研究人员发现了最近披露的一项活动的一个变体，该活动滥用 TOR 网络进行针对暴露的 Docker API 的加密劫持攻击。

上个月发现最新活动的 Akamai 表示，它旨在阻止其他参与者从互联网访问 Docker API。

调查结果建立在趋势科技 2025 年 6 月下旬的一份报告基础上，该报告发现了一场恶意活动，该活动针对暴露的 Docker 实例，使用 TOR 域进行匿名，秘密丢弃 XMRig 加密货币矿工。

“这种新菌株似乎使用与原始毒株类似的工具，但可能有不同的最终目标——包括可能建立复杂僵尸网络的基础，”安全研究员 Yonatan Gilvarg 说。

攻击链本质上涉及闯入配置错误的 Docker API，以执行基于 Alpine Docker 镜像的新容器并将主机文件系统挂载到其中。接下来是威胁行为者运行 Base64 编码的有效负载，从 .onion 域下载 shell 脚本下载器。

该脚本除了更改 SSH 配置以设置持久性外，还安装了其他工具，例如 masscan、libpcap、libpcap-dev、zstd 和 torsocks 来进行侦察、联系命令和控制 （C2） 服务器，并从第二个 .onion 域下载压缩二进制文件。

“下载的第一个文件是用 Go 编写的植入器，其中包含它想要删除的内容，因此它不会与互联网通信，”Gilvarg 解释道。“除了删除另一个二进制文件外，它还会解析 utmp 文件以查找当前登录到机器的人。”

有趣的是，二进制文件的源代码包括一个表情符号来描述登录到系统的用户。这表明该工件可能是使用大型语言模型 （LLM） 制作的。

植入程序还启动 Masscan 以扫描互联网上端口 2375 的开放 Docker API 服务，并通过重复使用 Base64 命令创建容器的相同过程将感染传播到这些机器。

此外，二进制文件还包括对另外两个端口的检查：23（Telnet）和 9222（Chromium 浏览器的远程调试端口），尽管通过这些端口传播的功能尚未完全充实。

Telnet 攻击方法需要使用一组已知的默认路由器和设备凭据来暴力登录并将成功的登录尝试泄露到 Webhook[.]站点终结点，其中包含有关目标 IP 地址和受害者身份验证凭据的详细信息。

对于端口 9222，恶意软件利用名为 chromedp 的 Go 库与 Web 浏览器进行交互。它以前已被朝鲜威胁行为者武器化，用于与 C2 服务器通信，甚至被窃取恶意软件武器化，以绕过 Chrome 的应用程序绑定加密、远程连接到 Chromium 会话以及窃取 cookie 和其他私人数据。

然后，它继续连接到具有开放远程端口的现有会话，并最终将 POST 发送到用于检索 shell 脚本下载器的同一 .onion 域，其中包含有关恶意软件所在的源 IP 地址以及它在端口 9222 上找到访问的目的地的信息。

详细信息被传输到名为“httpbot/add”的端点，这增加了具有公开 Chrome/Chromium 远程调试端口的设备可能被纳入僵尸网络的可能性，以提供额外的有效负载，这些有效负载可以窃取数据或用于进行分布式拒绝服务 （DDoS） 攻击。

“由于恶意软件仅扫描端口 2375，因此处理端口 23 和 9222 的逻辑目前无法访问，也不会被执行，”Gilvarg 说。“然而，实施是存在的，这可能表明未来的能力。”

“攻击者可以对受滥用 API 影响的系统获得重大控制权。对网络进行分段、限制服务向互联网的暴露以及保护默认凭据的重要性怎么强调都不为过。通过采取这些措施，组织可以显着降低对此类威胁的脆弱性。

Wiz 标记 AWS SES 滥用活动

此次披露之际，云安全公司 Wiz 详细介绍了 2025 年 5 月的 Amazon Simple Email Service （SES） 活动，该活动利用受感染的 Amazon Web Services （AWS） 访问密钥作为大规模网络钓鱼攻击的启动板。

目前尚不清楚密钥是如何获得的。然而，攻击者可以通过多种方法来实现这一点：在代码存储库中意外公开或通过配置错误的资产，或者使用窃取恶意软件从开发人员工作站窃取。

Wiz 研究人员 Itay Harel 和 Hila Ramati 表示：“攻击者使用受损的密钥访问受害者的 AWS 环境，绕过 SES 的内置限制，验证新的’发件人’身份，并有条不紊地准备和执行网络钓鱼作。