Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Хакерская группировка WatchDog запустила новую криптоджекинговую кампанию

06/06/22

monero mining2-3Хакерская группировка WatchDog проводит новую криптоджекинговую кампанию, используя передовые методы взлома, червеобразное распространение вредоносного ПО и техники обхода решений безопасности.

WatchDog атакует конечные точки Docker Engine API и серверы Redis и быстро распространяется с одной скомпрометированной системы по всей сети. Как сообщают обнаружившие вредоносную кампанию специалисты Cado Labs, целью группировки является получение финансовой выгоды путем майнинга криптовалюты с помощью ресурсов незащищенных серверов. Об этом пишет Securitylab.

WatchDog запускает атаки, взламывая плохо сконфигурированные конечные точки Docker Engine API через порт 2375, что дает хакерам доступ к демону в заводских настройках. Далее злоумышленники могут создавать списки и модифицировать контейнеры и запускать на них произвольные команды. Первый запускаемый хакерами скрипт cronb.sh проверяет статус заражения хоста, создает списки процессов и извлекает полезную нагрузку ar.sh для второго этапа атаки.

С помощью перехвата команды ps второй скрипт выполняет процесс, скрывающий shell-скрипт. Вдобавок он также меняет временные метки, чтобы сбить с толку исследователей безопасности.

В итоге на скомпрометированную машину устанавливается майнер XMRig.

Полезная нагрузка для третьего этапа атаки использует zgrab, masscan и pnscan для поиска в сети действительных точек и загружает последние два скрипта для распространения инфекции - c.sh и d.sh.

Первый скрипт, c.sh, отключает SELinux и устанавливает настройки ulimit и iptables для подключения к серверам Redis в скомпрометированной сети, при этом отключая любой другой доступ извне.

Второй скрипт, d.sh, похож на первый, но вместо Redis атакует другие конечные точки Docker Engine API и заражает их вредоносным контейнером Alpine Linux, который запускает скрипт для первоначального доступа cronb.sh.

Темы:КриптовалютыУгрозыMonero
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...