Oracle WebLogic 和 Docker API 面临加密采矿的威胁

关键要点

• 威胁行为者正针对 Oracle WebLogic 服务器和 Docker API 部署恶意加密采矿软件。
• Kinsing 恶意软件运营者利用旧漏洞，通过远程代码执行在易受攻击的 WebLogic 服务器上实施攻击。
• 最近，TeamTNT 突破新攻击，扫描配置错误的 Docker Daemon，并试图攻击加密货币钱包。

根据 的报道，威胁行为者正在利用 Oracle WebLogic 服务器和 Docker API 进行
恶意软件的部署。Trend Micro 的报告显示，Kinsing恶意软件的运营者利用新的及旧的 WebLogic 漏洞，关闭操作系统内置的安全功能。

易受攻击的 WebLogic 服务器已经通过利用远程代码执行漏洞（被追踪为 CVE-2020-14882）遭到破坏，该漏洞曾被用于 Monero 挖矿和
Tsunami 后门的部署。Trend Micro表示：“成功利用此漏洞可能导致远程代码执行（RCE），这使攻击者可以在受影响系统上执行多种恶意活动，从恶意软件执行到关键数据的盗取，甚至完全控制被攻击的机器。”

与此同时，Aqua Security 的另一份报告揭示了 TeamTNT 加密劫持组的新三起攻击事件，该团队于去年11月停止了运营。AquaSecurity 研究员 Assaf Morag 表示：“TeamTNT 正在扫描配置不当的 Docker Daemon，并部署
Alpine（一个原始容器镜像），通过命令行将 shell 脚本（k.sh）下载到 C2 服务器。”他还补充说，这些新攻击试图破解 SECP256K1加密以渗透加密货币钱包。

相关链接

主题 | 链接
—|—
黑客新闻 |
加密采矿 |
安全漏洞 |

在当前网络安全环境下，组织需要保持警惕，确保其服务器和容器的安全配置，以防止针对加密货币的恶意攻击。