警惕！挖矿木马WatchDog开始针对Docker 和 Redis 服务器

据外媒报道，自去年曝光最活跃的黑客组织 WatchDog 正在利用先进的黑客技术、恶意软件和安全规避技术开展新的加密劫持活动。

WatchDog攻击Docker引擎API端点和REDIS服务器，并从一个受影响的系统迅速传播到整个网络。据发现恶意活动的CADO实验室专家称，该组织的目标是利用不受保护的服务器资源挖掘加密货币，从而获得经济利益。

如何进行攻击

首先，WatchDog通过端口2375破解配置不当的Docker引擎API端点来启动攻击，使黑客能够访问出厂设置中的保护进程。攻击者就可以创建列表并修改容器，并运行任意命令。攻击者先运行cronb.sh脚本检查主机的感染状态，然后创建进程列表，并为第二阶段攻击提取AR.SH有效负载。

攻击者再运行第二个脚本来拦截ps命令，执行隐藏shell脚本的进程。此外，它还会更改时间戳以迷惑安全研究人员。

这时候，XMRig 挖矿程序就会安装在受感染的机器上。

最后，攻击的有效载荷使用ZGRAB、Masscan和PNSCAN在网络中搜索有效点，并加载最后两个脚本以传播感染-C.SH和D.SH。

第一个脚本 c.sh 禁用 SELinux 并设置ulimit和iptables来连接网络上受感染的Redis服务器，同时禁用任何其他外部访问。

第二个脚本 d.sh 与第一个脚本类似，但它不是 Redis，而是攻击其他 Docker 引擎 API 端点，并将其感染到恶意的Alpine Linux容器中，该容器运行脚本进行初始访问cronb.sh。