Linux恶意软件利用狗币API入侵

随着越来越多的公司将工作负载转移到云中，Linux威胁越来越普遍，网络犯罪分子已经开发了新的工具和技术来对Linux基础架构发起攻击。

其中一种他们常用的手段是扫描可被公开访问的Docker服务器，然后利用配置错误的Docker API端口来设置自己的环境并在受害者的基础设施上运行恶意软件。而Ngrok botnet则是其中一个利用这种方法、并且现存持续时间最久的一个攻击活动。根据Intezer Labs的一份新报告显示，只需要仅仅数小时攻击者就可以透过这样的攻击来入侵一个配置错误的Docker服务器。

不过最近又有一种新的恶意软件出现了，而它与那些通常在这种攻击中都会部署的挖矿程序不同，Intezer Labs将其称为Doki。Doki与别不同的地方在于它会利用狗币API来寻找目标的命令与控制(C&C)服务器的URL地址。嗯，狗币就是这个。

一旦攻击者利用Docker API在公司的云端环境中部署新服务器的话，那么这个使用Alpine Linux的服务器就会被挖矿程序以及Doki所感染。

Intezer研究人员表示，Doki的目的是容许攻击者对他们劫持的服务器进行控制，来确保其加密挖矿操作得以继续，而Doki就是通过狗币API来决定其用来接收新指示所需要的C&;C服务器的URL地址。

Doki使用一种称为DGA，或者域生成算法的动态算法来确定C&C服务器的地址。Ngrok botnet的幕后黑手也可以通过在他们控制的狗币钱包内进行一次交易，来更改恶意软件用于接收命令的服务器，因此攻击者可以阻止受影响的公司甚至执法部门拆除后端基础架构。