安基网 首页 资讯 安全报 查看内容

TeamTNT团伙对Docker主机下手,国内服务器恐遭挖矿木马攻击

2020-8-5 01:15| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 近日,微步情报局监测发现一起尝试攻击Docker主机并植入挖矿木马的攻击活动,挖矿木马存放在一台位于德国的服务器(85.214.149.236)中,该服务器上还存在Tsunami DDoS木马和其他后门程序,其中一款木马样本与微步情报局今年1月发布的“我国大量服务器被黑产组织攻陷”通报中涉及的木马相同,疑似同一 ...

近日,微步情报局监测发现一起尝试攻击Docker主机并植入挖矿木马的攻击活动,挖矿木马存放在一台位于德国的服务器(85.214.149.236)中,该服务器上还存在Tsunami DDoS木马和其他后门程序,其中一款木马样本与微步情报局今年1月发布的“我国大量服务器被黑产组织攻陷”通报中涉及的木马相同,疑似同一团伙所为,微步情报局其命名为“TeamTNT”。

微步在线对此次发行的木马进行了溯源分析,其中bioset程序(MD5:4206dbcf1c2bc80ea95ad64043aa024a)与2020年01月16日微步在线发现的针对我国大量服务器进行攻击活动使用的木马相同。

此外,另有外国安全厂商于今年5月份曝光的一次挖矿相关的攻击活动中 ,攻击者使用的C&C irc.kaiserfranz.cc与此次攻击活动也是相同的。另一个恶意域名teamtnt.red是此次攻击中使用C&C irc.teamtnt.red的二级域名。

此次攻击的主要目的是挖矿,但也具备部署后门来维持权限的能力。由于上次攻击者攻击的IP地址90%以上是属于中国,因此应对此次攻击采取相当的重视。

因此,我们建议:

1、 在Docker的使用中,应限制访问权限,采用标准的最佳实践来减少攻击面。

2、 建议使用微步在线TDP、TIP、OneDNS等产品对该组织的攻击活动进行持续检测和防范。

电脑端点击“了解更多”,手机端在评论区首条查阅关于此次事件更多技术溯源。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6857109046022013453/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部