新的云端加密劫持攻击活动揭露

重点摘要

• CrowdStrike 研究人员揭露了一个新的针对全球云基础设施的攻击活动，名为「Kiss-A-Dog」。
• 该活动主要目的是利用受害者的计算能力安装 XMRig 进行加密货币挖矿。
• 攻击者使用多个指挥和控制伺服器来逃避容器化环境，并获得根权限。
• 目前，全球有超过68,000个易受攻击的 Kubernetes 实例和13,000个 Docker 实例暴露在互联网上。

CrowdStrike 的研究显示，名为「Kiss-A-Dog」的攻击活动最早可追溯至九月，当时他们的蜜罐系统首次开始侦测到针对 和 Kubernetes 实例的攻击。这个名称来自于攻击者用来获取 Python编写的恶意软体的域名：kiss

易受攻击的 Kubernetes 实例

易受攻击的 Docker 实例

根据研究人员的说法，最终的目标是利用受害者的计算能力来安装 XMRig 并挖掘加密货币。尽管这些攻击在首次被 CrowdStrike察觉之前已经出现一段时间，但夏季加密货币市场的平行崩溃可能最初“使其可见性和影响力受到削弱”。

CrowdStrike 的高级威胁研究员 Manoj Ahuje表示：“加密劫持组织的活动持续时间从几天到几个月不等，具体取决于它们的成功率。随著加密货币价格的下跌，这些活动在过去几个月中受到压制，直到十月份发动了多个活动，趁低竞争环境而为。”

CrowdStrike 虽然不对这一活动进行明确的归因，但指出多次攻击来自于之前被 TeamTNT 使用的指挥和控制伺服器。TeamTNT是一个以针对云端和容器环境而闻名的骇客团体。根据 Trend Micro 在 10 月 19 日发布的研究，