Docker系统的暴露API端点受到黑客的威胁

一个致命的黑客组织已开始对互联网进行大规模扫描，以查找具有API端点的Docker平台，首先是暴露于Internet的那些平台。扫描动作于2019年11月24日开始，由于其巨大的尺寸而立即引起注意。这似乎不仅仅是普通的脚本滥用儿童的审判。

黑客不睡觉

这些特定大规模扫描的主要驱动力是使攻击者能够向Docker容器发出命令，并在公司的Docker实例上使用数字货币矿机，从而为自己的自私收益筹集资金。

到目前为止，进行这些恶意攻击的黑客团队正在尝试扫描超过60,000个IP网络（网络块），以搜索所有可能被黑客入侵的潜在Docker实例。玩家找到任何暴露的主机后，黑客便会部署API端点以启动可以支持他们使用的某些命令的Alpine Linux操作系统。

其中一些命令可以从黑客的Internet和数据服务器下载并执行Bash脚本。此外，该脚本将运行并设置XMRRig数字货币矿工模型。在操作的短短四天内，攻击者成功开采了超过15种门罗币（XMR）加密货币，价值超过750美元。

小心

此外，恶意软件活动还具有自卫机制。它还会卸载所有已识别的监视代理程序，并通过从特定网站访问的脚本进一步破坏多个进程（
http:// ix（。）io / 1XQh）。

当您观察脚本时，会发现攻击者禁用了安全项目，他们还关闭了与竞争对手的加密货币挖矿僵尸网络有关的进程，例如
DDG等。攻击者还在受攻击的容器上形成后门帐户，并且他们使SSH密钥可以轻松访问。

目前，建议使用Docker实例的用户和机构立即检查它们是否使API端点处于危险之中，方法是使它们广泛暴露在网上，关闭所有端口，并关闭正在使用的身份不明的容器。