05/02/24
«В операции используется безопасный контейнер, созданный с использованием проекта Commando», — объяснили исследователи безопасности Cado Security. «Злоумышленники нашли способ выйти из этого контейнера и запустить произвольные полезные нагрузки на хосте Docker».
Предполагается, что кампания активна с начала 2024 года, пишет Securitylab. Это уже вторая подобная кампания, выявленная за последние пару месяцев. В середине января эксперты обнаружили ещё один кластер атак на уязвимые Docker-хосты для развёртывания криптомайнера XMRig и программного обеспечения 9Hits Viewer.
В рамках рассматриваемой операции Docker используется в качестве первоначального вектора доступа для доставки набора взаимозависимых вредоносных программ с сервера злоумышленников. Этот сервер отвечает за сохранение постоянного присутствия в системе, установку бэкдоров, эксфильтрацию учётных данных поставщиков облачных служб и непосредственно запуск криптомайнера.
Полученный доступ к уязвимым экземплярам Docker в дальнейшем используется для развёртывания безвредного контейнера с помощью открытого инструмента Commando и выполнения вредоносной команды, позволяющей «вырваться» за пределы контейнера с помощью chroot.
Также выполняется серия проверок на наличие активных служб с именами «sys-kernel-debugger», «gsc», «c3pool_miner» и «dockercache» на скомпрометированной системе. Следующий этап начинается только в том случае, если эта проверка проходит успешно, и включает в себя получение дополнительных вредоносных программ с командного сервера злоумышленников.
Среди получаемых программ — скрипт-бэкдор «user.sh», способный добавлять SSH-ключи и создавать поддельных пользователей с известными злоумышленникам паролями и правами суперпользователя. Также доставляются скрипты «tshd.sh», «gsc.sh» и «aws.sh» для установки бэкдоров и эксфильтрации учётных данных.
Атака завершается развёртыванием ещё одной полезной нагрузки в виде скрипта, закодированного в Base64, который устанавливает майнер криптовалют XMRig, предварительно удалив конкурирующие майнеры с заражённой машины.
Точное происхождение угрозы пока неизвестно, хотя обнаружены пересечения со скриптами и IP-адресами командного сервера групп криптоджекеров TeamTNT. Возможно, речь идёт о группировке-подражателе.
По словам исследователей, «это вредоносное ПО функционирует как похититель учётных данных, скрытный бэкдор и криптомайнер одновременно». Это делает его универсальным инструментом для максимального использования ресурсов инфицированных машин.
