该威胁于 2025 年 8 月被发现,采用经过升级的战术,旨在建立持久化根权限,同时阻止其他攻击者访问已被攻陷的系统。
此恶意软件是趋势科技(Trend Micro)于 2025 年 6 月首次报告的某恶意软件变种的重大升级版本。
早期变种主要聚焦于隐藏在 Tor 基础设施后的加密货币挖矿操作,而这一新变种则表现出更复杂的行为模式。
攻击始于利用互联网上可访问的配置不当的 Docker API,具体针对 2375 端口 —— 管理员在此端口不慎暴露了 Docker 守护进程,且未设置适当的身份验证机制。
感染流程的第一步,是攻击者基于 Alpine Linux 镜像创建恶意容器,通过挂载主机文件系统获取特权访问权限。
借助经过 Base64 编码的载荷,该恶意软件从 Tor 隐藏服务下载并执行一个 Shell 脚本,在受攻陷系统中建立多种持久化机制。
阿卡迈(Akamai)的研究人员在常规蜜罐监控过程中发现了这一变种,并指出其行为与此前记录的攻击存在明显差异。
研究人员观察到,与早期变种不同,该变种采用了 “排他策略”,旨在阻止其他竞争威胁行为者访问同一易受攻击的系统。
该恶意软件最显著的升级之处,在于其采用全面策略确保对已攻陷基础设施的 “独占访问”。
初始攻陷后,攻击会部署一个名为docker-init.sh的脚本,该脚本会实施多层持久化机制与防御措施。
持久化机制通过一系列协同操作实现:首先,恶意软件将攻击者控制的 SSH 公钥添加到/root/.ssh/authorized_keys文件中,从而绕过正常身份验证流程,直接获取根权限访问;
随后,它创建一个每分钟执行一次的定时任务(cron job),通过 iptables、ufw、firewall-cmd、pfctl、nft 等多种防火墙工具,系统性地阻断对 2375 端口的访问,相关代码片段如下:
PORT=2375
PROTOCOL=tcp
for fw in firewall-cmd ufw pfctl iptables nft; do
if command -v "$fw" >/dev/null 2>&1; then
case "$fw" in
firewall-cmd)
firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' port protocol='tcp' port='2375' reject"
firewall-cmd --reload
这种防御性阻断是在基于容器的攻击中罕见的 “领地式策略”。
通过系统性关闭为其提供初始访问入口的 Docker API 端口,攻击者可阻止其他恶意行为者利用同一漏洞,同时通过 SSH 访问维持自身已建立的控制权限。
(启动 masscan 扫描的二进制文件(来源:阿卡迈))
该恶意软件还会安装侦察工具,包括用于网络扫描的 masscan,以及用于匿名通信的 torsocks。
这些组件使恶意软件能够识别并攻陷网络中其他易受攻击的 Docker 实例,为开展大规模僵尸网络操作创造可能。
兼具持久化访问、排他性控制与传播能力的该恶意软件,已成为容器化环境面临的重大威胁。
版权声明·<<<---红客联盟--->>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
