Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Открытые конечные точки Docker API подвергаются атакам криптоджекинга «Commando Cat»

05/02/24

docker-logo-696x364

«В операции используется безопасный контейнер, созданный с использованием проекта Commando», — объяснили исследователи безопасности Cado Security. «Злоумышленники нашли способ выйти из этого контейнера и запустить произвольные полезные нагрузки на хосте Docker».

Предполагается, что кампания активна с начала 2024 года, пишет Securitylab. Это уже вторая подобная кампания, выявленная за последние пару месяцев. В середине января эксперты обнаружили ещё один кластер атак на уязвимые Docker-хосты для развёртывания криптомайнера XMRig и программного обеспечения 9Hits Viewer.

В рамках рассматриваемой операции Docker используется в качестве первоначального вектора доступа для доставки набора взаимозависимых вредоносных программ с сервера злоумышленников. Этот сервер отвечает за сохранение постоянного присутствия в системе, установку бэкдоров, эксфильтрацию учётных данных поставщиков облачных служб и непосредственно запуск криптомайнера.

Полученный доступ к уязвимым экземплярам Docker в дальнейшем используется для развёртывания безвредного контейнера с помощью открытого инструмента Commando и выполнения вредоносной команды, позволяющей «вырваться» за пределы контейнера с помощью chroot.

Также выполняется серия проверок на наличие активных служб с именами «sys-kernel-debugger», «gsc», «c3pool_miner» и «dockercache» на скомпрометированной системе. Следующий этап начинается только в том случае, если эта проверка проходит успешно, и включает в себя получение дополнительных вредоносных программ с командного сервера злоумышленников.

Среди получаемых программ — скрипт-бэкдор «user.sh», способный добавлять SSH-ключи и создавать поддельных пользователей с известными злоумышленникам паролями и правами суперпользователя. Также доставляются скрипты «tshd.sh», «gsc.sh» и «aws.sh» для установки бэкдоров и эксфильтрации учётных данных.

Атака завершается развёртыванием ещё одной полезной нагрузки в виде скрипта, закодированного в Base64, который устанавливает майнер криптовалют XMRig, предварительно удалив конкурирующие майнеры с заражённой машины.

Точное происхождение угрозы пока неизвестно, хотя обнаружены пересечения со скриптами и IP-адресами командного сервера групп криптоджекеров TeamTNT. Возможно, речь идёт о группировке-подражателе.

По словам исследователей, «это вредоносное ПО функционирует как похититель учётных данных, скрытный бэкдор и криптомайнер одновременно». Это делает его универсальным инструментом для максимального использования ресурсов инфицированных машин.

Темы:УгрозыDockerCado Securityкриптоджекинг
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...