安全研究人员发现了一种针对易受攻击的 Docker 服务的新型网络攻击活动。这些攻击标志着第一个有记录的利用 9hits 应用程序作为有效负载的恶意软件案例。

Cado 安全实验室发现，该活动将两个容器部署到易受攻击的 Docker 实例 – 一个标准 XMRig 挖矿程序和 9hits 查看器应用程序。后者用于在 9hits 平台上为攻击者生成积分。

9hits 是一个被称为“独特的网络流量解决方案”的平台，允许会员购买积分以进行网站流量交换。在此活动中，通常用于访问网站以换取积分的 9hits 查看器应用程序被恶意软件利用，使攻击者受益。

攻击首先由攻击者控制的服务器通过互联网在易受攻击的 Docker 主机上部署容器。虽然 Cado 研究人员无法访问该传播程序，但他们推测攻击者可能通过 Shodan 等平台发现了蜜罐。该传播器使用 Docker API 启动两个容器，从 Dockerhub 获取现成的镜像用于 9hits 和 XMRig 软件。

仔细检查有效负载操作后发现，9hits 容器运行带有会话令牌的脚本，允许应用程序通过 9hits 服务器进行身份验证并为攻击者赚取积分。XMRig 容器利用链接到攻击者动态 DNS 域的私人矿池来挖掘加密货币。

对受感染主机的影响是资源耗尽，XMRig 矿工消耗可用的 CPU 资源，而 9hits 应用程序则利用大量带宽、内存和任何剩余的 CPU。这可能会阻碍受感染服务器上的合法工作负载，并可能导致更严重的违规行为。

Cado 安全研究员 Nate Bill 表示，这一发现凸显了攻击者从受感染主机中获利的策略不断演变。它还强调暴露的 Docker 主机作为入口点的持续漏洞。

“由于 Docker 允许用户运行任意代码，因此保持其安全至关重要，以避免您的系统被用于恶意目的，” 公告中写道。