Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Похитители криптовалют используют Docker Swarm как оружие

02/10/24

hack80-Oct-02-2024-09-00-21-5119-AM

Исследователи из компании Datadog выявили новую кампанию криптоджекинга, направленную на Docker Engine API, целью которой является подключение контейнеров к управляемому злоумышленниками Docker Swarm. Эта кампания позволяет злоумышленникам использовать функции оркестрации Docker Swarm в качестве механизма командного управления, пишет Securitylab.

В ходе атак злоумышленники получают начальный доступ через Docker для установки майнера криптовалют на скомпрометированные контейнеры, а также загружают дополнительные скрипты, обеспечивающие возможность бокового перемещения по сети к хостам с Docker, Kubernetes или SSH. Уязвимости выявляются с помощью инструментов интернет-сканирования, таких как masscan и ZGrab.

На уязвимых точках доступа Docker API запускается контейнер Alpine, после чего загружается скрипт «init.sh» с удалённого сервера «solscan[.]live». Скрипт проверяет наличие root-прав и инструментов curl и wget, а затем устанавливает майнер XMRig. Чтобы скрыть процесс майнинга, используется руткит libprocesshider, затрудняя обнаружение через системные команды.

Дополнительно скрипт «init.sh» скачивает три других скрипта — «kube.lateral.sh», «spread_docker_local.sh» и «spread_ssh.sh» — которые позволяют атакующим перемещаться по Docker, Kubernetes и SSH в сети. Например, «spread_docker_local.sh» сканирует локальную сеть на наличие открытых портов, связанных с Docker Engine и Docker Swarm, и при обнаружении открытых портов запускает контейнер на основе образа upspin с Docker Hub, чтобы распространять вредоносный код на другие хосты Docker.

Интересно, что образ Docker upspin указан в текстовом файле на C2-сервере, что позволяет злоумышленникам легко изменять его в случае блокировки, указывая на другой контейнер. Скрипт «spread_ssh.sh» способен взламывать SSH-серверы, добавлять SSH-ключ и создавать пользователя с именем «ftp» для сохранения постоянного доступа.

Последний этап атаки заключается в запуске скрипта «setup_mr.sh», который извлекает и активирует майнер криптовалюты. Кроме того, на C2-сервере обнаружены дополнительные скрипты, такие как «ar.sh», «TDGINIT.sh» и «pdflushs.sh», которые изменяют правила iptables, скачивают сканирующие инструменты, устанавливают бэкдор и изменяют конфигурацию Docker Swarm для расширения контроля над Docker-хостами.

Кампания связана с известной группой TeamTNT, которая ранее применяла схожие тактики. Эксперты предупреждают, что подобные атаки криптоджекинга на Docker и Kubernetes остаются популярными из-за высокой прибыли и возможности быстрой автоматизации, что мотивирует злоумышленников на продолжение их проведения.

Темы:криптовалютыУгрозыDocker
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...