安全研究人员发现了一种针对脆弱的Docker服务的新型网络攻击活动。这些攻击标志着恶意软件利用9hits应用程序作为有效负载的第一个记录案例。

该攻击由Cado Security Labs发现，它向易受攻击的Docker实例部署了两个容器，分别是一个标准XMRig挖掘器和9hits查看器应用程序。后者用于在9hits平台上为攻击者生成积分。

9hits是一个被描述为独特的网络流量解决方案的平台，它允许会员购买积分来交换网站流量。在这次攻击中，通常用于访问网站以换取积分的9hits查看器应用程序被恶意软件利用，使攻击者受益。

攻击开始于由攻击者控制的服务器通过互联网在易受攻击的Docker主机上部署容器。虽然Cado的研究人员无法访问传播器，但他们推测攻击者可能通过Shodan等平台发现了蜜罐。散布器使用Docker API启动两个容器，从Dockerhub获取现成的映像，用于9hits和XMRig软件。

在仔细检查负载操作后，发现9hits容器运行带有会话令牌的脚本，允许应用程序与9hits服务器进行身份验证并为攻击者赚取积分。XMRig容器利用连接到攻击者动态DNS域的私有挖掘池挖掘加密货币。

对受损主机的影响是资源耗尽，XMRig矿机消耗可用的CPU资源，9hits应用程序利用大量带宽、内存和任何剩余的CPU。这可能会阻碍受感染服务器上的合法工作负载，从而可能导致更严重的入侵。

根据Cado安全研究员Nate Bill的说法，这一发现强调了攻击者不断进化的策略，以从受损的主机中获利。它还强调了暴露的Docker主机作为入口点的持久性漏洞。

该建议写道：“由于Docker允许用户运行任意代码，因此确保其安全以避免您的系统被用于恶意目的是至关重要的。”