Commando Cat加密劫持攻击目标是配置错误的Docker实例

被称为Commando Cat的威胁行为者与正在进行的加密劫持攻击活动有关，该活动利用安全保护不良的Docker实例来部署加密货币矿工以获得经济利益。

趋势科技研究人员Sunil Bharti和Shubham Singh在周四的分析中表示，攻击者使用了cmd.cat/chattr docker映像容器，该容器从自己的命令与控制（C&C）基础设施中检索有效载荷。

Commando Cat因其使用开源的Commando项目生成良性容器而得名，今年早些时候由Cado Security首次记录在案。

这些攻击的特点是针对配置错误的Docker远程API服务器，以部署名为cmd.cat/chattr的Docker映像，然后将其用作实例化容器并使用chroot命令突破其限制的基础，并获得对主机操作系统的访问权限。

最后一步需要通过shell脚本使用C&C服务器（“leetdbs.anondns[.]net/z”）的curl或wget命令检索恶意矿工二进制文件。该二进制文件被怀疑是ZiggyStarTux，一个基于Kaiten（又名海啸）恶意软件的开源IRC机器人。

研究人员说，这次攻击活动的意义在于它使用Docker映像在受损的系统上部署加密劫持脚本。这种策略允许攻击者利用Docker配置中的漏洞，同时逃避安全软件的检测。

披露之际，Akamai透露，ThinkPHP应用程序（例如CVE-2018-20062和CVE-2019-9082）中多年来的安全缺陷正在被一名涉嫌讲中文的威胁行为者利用，以提供一个被称为Dama的网络外壳，这是自2023年10月17日以来一直在进行的运动的一部分。

Akamai研究人员Ron Mankivsky和Maxim Zavodchik说，该漏洞试图从另一个受损的ThinkPHP服务器检索额外的混淆代码，以获得初步立足点。成功利用系统后，攻击者将安装一个名为Dama的中文网络外壳，以保持对服务器的持久访问。

Web shell配备了多种高级功能，可以收集系统数据、上传文件、扫描网络端口、升级特权和浏览文件系统，后者使威胁行为者能够执行文件编辑、删除和时间戳修改等操作，以实现混淆目的。

研究人员指出，最近由一个讲中文的对手发起的攻击凸显了攻击者使用成熟的网络外壳的持续趋势，该外壳专为高级受害者控制而设计。有趣的是，并非所有目标客户都在使用ThinkPHP，这表明攻击者可能不分青红皂白地针对各种系统。