28/10/22
Исследователи ИБ-компании CrowdStrike обнаружили новую кампанию криптоджекинга, нацеленную на уязвимые инфраструктуры Docker и Kubernetes. Это передает Securitylab.
Инфраструктура управления и контроля (C&C) пересекается с инфраструктурой группировки TeamTNT , которая атакует неправильно настроенные экземпляры Docker и Kubernetes.
Вторжения, обнаруженные в сентябре 2022 года, получили свое название от домена с именем «kiss.a-dog[.]top», который используется для запуска полезной нагрузки сценария оболочки на скомпрометированном контейнере с помощью команды Python в кодировке Base64.
«URL-адрес, используемый в полезной нагрузке, скрыт обратной косой чертой для обхода автоматического декодирования, а сопоставление регулярных выражений извлекает вредоносный домен», — сказал исследователь CrowdStrike Манодж Ахудже в техническом анализе.
В конечном итоге хакеры выходят из контейнера и перемещаются во взломанную сеть, одновременно завершая и удаляя облачные службы мониторинга.
Для уклонения от обнаружения и скрытия вредоносных процессов кампания использует руткиты Diamorphine и libprocesshide . При этом libprocesshide скомпилирован в виде разделяемой библиотеки, что позволяет злоумышленникам внедрять вредоносные общие библиотеки в каждый процесс, созданный в скомпрометированном контейнере.
Конечная цель кампании — скрытая добыча криптовалюты с использованием ПО для майнинга XMRig, а также эксплуатация уязвимых экземпляров Redis и Docker для майнинга и других последующих атак.
