滥用Docker、Kubernetes等环境从事挖矿攻击的情况一直都存在，本周有研究人员揭露新一波大规模行动。

云端监控服务业者Datadog旗下的资安实验室发现，有人针对Docker引擎的API从事挖矿攻击，并横向移动到Docker Swarm、Kubernetes，以及其他能通过SSH存取的服务器。黑客将受害主机加入他们控制的Docker Swarm集群，并滥用Docker Swarm的编排（orchestration）功能进行C2通信。

除此之外，这些黑客也滥用Docker Hub，并上传大量恶意映像档。根据有效酬载当中写死的文件系统路径，研究人员推测，对方还运用云端IDE环境GitHub Codespaces的运算基础架构。

攻击者起初锁定曝露在互联网上的Docker API端点，在未经身分验证的情况下运行恶意命令，过程中，也通过已经受害的节点运行masscan、zgrab等网络扫描工具来寻找目标，随后滥用Docker的API植入Alpine容器，运行后续的攻击流程。

恶意软件会先检查目前环境是否具备特定的数据传输工具，以及运行的权限是否为root，完成后就会从GitHub取得挖矿软件XMRig安装脚本，并搭配特定用户字符串进行部署。

值得留意的是，攻击者为了隐匿相关处理进程，从C2下载Linux对象共享文件的处理进程隐藏工具，并借由动态链接器挟持手法，将其设置为符合特定条件才动作的模式，例如，只要有运行档启动，就会触发这项工具运作。

上述攻击行动完成后，黑客还会进一步横向移动。他们运用kube.lateral.sh、spread_docker_local.sh、spread_ssh.sh等三种脚本来进行，这些分别针对Kubernetes、Docker端点，以及SSH服务器而来。