据观察，一种名为“Commando Cat”的新型加密劫持攻击活动利用暴露的 Docker 远程 API 服务器部署加密货币挖矿机。攻击操作利用开源 Commando 项目的合法 Docker 镜像。

Commando 是一个按需创建 docker 镜像的工具，可帮助 SysOps 和 DevOps 专业人员快速创建镜像以供操作。

突击猫的初始进入和攻击序列

Trend Micro研究人员发现的Commando Cat 活动自 2024 年初以来一直活跃。攻击从探测 Docker Remote API 服务器开始。如果服务器响应，攻击者将使用“cmd.cat/chattr”映像创建一个容器。一旦找到合适的目标，攻击者就会部署一个名为 cmd.cat/chattr 的 docker 映像，乍一看似乎无害，但却是攻击后续阶段的垫脚石。

“cmd.cat/chattr”镜像允许攻击者采用chroot、卷绑定等技术逃离docker容器，将主机系统的根目录与容器自己的/hs目录绑定，从而获得对主机文件系统的不受限制的访问权。

攻击者还将Docker套接字绑定到容器，这样他们就可以像在主机上一样操纵 Docker。如果找不到“cmd.cat/chattr”映像，攻击者就会从 cmd.cat 存储库中将其拉出。

一旦镜像就位，他们就会创建一个 Docker 容器，执行一个 base64 编码的脚本，该脚本会从他们的命令和控制 (C&C) 服务器下载并执行恶意二进制文件。研究人员将下载的二进制文件识别为 ZiggyStarTux，这是一个基于 Kaiten 恶意软件的开源 IRC僵尸网络。

突击猫检测和缓解

虽然研究人员指出，该活动的 C&C 服务器在分析过程中已关闭，但他们注意到了攻击操作的几个技术细节。研究人员建议，在 TCP 端口 3022 上滥用 DropBear SSH，以及将 1219 端口用作其 C&C 服务器，可以帮助检测恶意软件的存在。未经授权的 IRC 通信以及这些特定的 User-Agent 字符串是其他指标：

• HackZilla/1.67 [en]（X11；U；Linux 2.2.16-3 x64）
• Mozilla/4.75 [en]（X11；U；Linux 2.2.16-3 i686）

为了防止此类攻击，组织应遵守 Docker 安全最佳实践，包括：

• 正确配置 Docker 容器和 API。
• 仅使用官方或经过认证的 Docker 镜像。
• 使用非 root 权限运行容器。
• 限制容器对可信来源的访问。
• 定期执行安全审计并扫描可疑的docker容器。

此外，研究人员还分享了一份更详细的入侵指标(IOC) 列表，以帮助检测感染。Commando Cat 攻击活动凸显了暴露的 Docker Remote API 服务器所带来的风险以及威胁行为者对开源项目的潜在利用。

#网络安全##头条创作挑战赛##数据泄露##国际网络安全热点资讯##加密货币#

#docker##挖矿#