Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Хакеры превращают серверы Docker в майнинг-фермы

10/06/24

Docker_header

Группа киберпреступников Commando Cat продолжает финансово-мотивированную кампанию криптоджекинга, направленную на неправильно настроенные Docker-инстансы.

Названная так из-за использования проекта Commando для создания контейнеров, группировка впервые была задокументирована Cado Security в начале этого года.

Злонамеренная деятельность киберпреступников включает в себя создание контейнеров с помощью образа «cmd.cat/chattr», после чего они могут управлять Docker на скомпрометированном хосте.

Процесс каждой атаки начинается с проверки доступности Docker Remote API сервера. После подтверждения доступности, происходит создание контейнера, который позволяет злоумышленникам выйти на уровень операционной системы хоста.

Если необходимый образ отсутствует, атакующие извлекают его из репозитория «cmd.cat», после чего следует создание контейнера. В ходе этого процесса злоумышленники выполняют строку, закодированную в base64, которая расшифровывается в скрипт. Этот скрипт проверяет наличие файла в системе и, если файл отсутствует, загружает и выполняет вредоносный бинарный файл ZiggyStarTux — IRC-бот с открытым исходным кодом, основанный на вредоносном ПО Kaiten (он же Tsunami).

Хотя C2-сервер злоумышленников был недоступен на момент анализа исследователями, наличие определённых строк User-Agent в бинарном коде позволило отследить наличие этого ПО в сети.

«Значимость этой атаки заключается в использовании Docker-образов для развёртывания криптоджекинговых скриптов на компрометированных системах», — отметили исследователи Trend Micro. «Эта тактика позволяет злоумышленникам эксплуатировать уязвимости в конфигурациях Docker и избегать обнаружения антивирусным ПО».

Для защиты окружений разработки от подобных атак, рекомендуется тщательно настраивать контейнеры и API, использовать только официальные или сертифицированные образы и проводить регулярные аудиты безопасности.

Темы:УгрозыTrend MicroDockerкриптоджекинг
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...