骇客滥用Docker、Kubernetes等环境从事挖矿的事故,接连有事故传出,本周有研究人员公布最新一波的攻击行动,并指出攻击者发起攻击的管道,是曝露在网际网路的Docker引擎API。
值得留意的是,骇客使用的恶意软体具备类似蠕虫的特性,会在成功入侵Docker端点后进行横向移动,对其他的Docker Swarm、Kubernetes端点进行感染。
【攻击与威胁】
滥用Docker、Kubernetes等环境从事挖矿攻击的情况一直都存在,本周有研究人员揭露新一波大规模行动。
云端监控服务业者Datadog旗下的资安实验室发现,有人针对Docker引擎的API从事挖矿攻击,并横向移动到Docker Swarm、Kubernetes,以及其他能透过SSH存取的伺服器。骇客将受害主机加入他们控制的Docker Swarm丛集,并滥用Docker Swarm的编排(orchestration)功能进行C2通讯。
除此之外,这些骇客也滥用Docker Hub,并上传大量恶意映像档。根据有效酬载当中写死的档案系统路径,研究人员推测,对方还运用云端IDE环境GitHub Codespaces的运算基础架构。
这两年锁定乌克兰及盟国而来的恶意软体RomCom,如今出现新的变种,骇客滥用有效凭证对其签章来回避侦测,并借此工具进行多阶段攻击,从而达到执行命令、下载其他恶意软体的目的。
资安业者Palo Alto Networks揭露恶意软体RomCom的新变种SnipBot,并指出攻击者可借此于受害电脑执行命令,然后将附加模组植入受害电脑。研究人员与今年2月在资安事故看到SnipBot的资安业者Sophos联手调查,并采集、分析攻击者于受害电脑活动留下的痕迹。
对于这个恶意程式的发展,研究人员指出,骇客是以RomCom 3.0为基础进行打造,但具备后续的4.0版(趋势科技将其命名为PeaPod)部分新技术,因此他们认为SnipBot就是RomCom 5.0。他们推测,骇客很有可能在去年12月就开始运用SnipBot。
其他攻击与威胁
本周Pure Storage发布资安公告,指出旗下储存系统FlashArray和FlashBlade存在5项重大层级的漏洞,其中有2个CVSS风险评分达到了10分(满分)的程度,可说是相当危险。这些漏洞攻击者有机会用来执行任意程式码、未经授权存取,甚至有可能破坏储存设备的运作,该公司已发布新版软体进行修补。
对于这些漏洞在台湾处理的情形,我们也询问Pure Storage,他们表示已通知客户,并正与他们密切合作以解决任何相关的问题。
该公司指出,CISA在资安公告里提到的CVE-2024-7029,他们对于产品线进行全面检测,确认目前销售的机种并未存在这项漏洞。至于存在漏洞的AVM1203,已经停产接近7年,他们也决定破例提供1024版韧体予以修补。