Злоумышленники начали активно использовать сервис Cloudflare WARP для проведения атак на уязвимые интернет-ресурсы
22/07/24
Cloudflare WARP - бесплатный VPN-сервис, который оптимизирует трафик, направляя его через международную сеть Cloudflare, поясняет Securitylab. Сервис использует собственную реализацию протокола WireGuard для туннелирования данных до ближайшего дата-центра Cloudflare.
Эксперты отмечают, что основная опасность вредоносного использования WARP кроется в высоком уровне доверия к IP-адресам Cloudflare. Многие сетевые администраторы склонны пропускать такой трафик, считая его частью обычных бизнес-процессов. Более того, некоторые специалисты даже рекомендуют разрешать весь диапазон IP-адресов Cloudflare в файрволах.
Один из примеров - кампания SSWW, нацеленная на майнинг криптовалюты. Злоумышленники атакуют открытые Docker-контейнеры, используя WARP для первоначального доступа. Первый такой инцидент был зафиксирован 21 февраля 2024 года.
Все начинается с создания контейнера, обладающего повышенными привилегиями и доступом к хост-системе. Для этого применяется следующий HTTP-запрос:
IPv4 TCP (PA) 104.28.247.120:19736 -> redacted:2375 POST /containers/create
HTTP/1.1
Host: redacted:2375
Accept-Encoding: identity
User-Agent: Docker-Client/20.10.17 (linux)
Content-Length: 245
Content-Type: application/json
{"Image": "61395b4c586da2b9b3b7ca903ea6a448e6783dfdd7f768ff2c1a0f3360aaba99", "Entrypoint": ["sleep", "3600"], "User": "root", "HostConfig": {"Binds": ["/:/h"], "NetworkMode": "host", "PidMode": "host", "Privileged": true, "UsernsMode": "host"}}
Далее запускается скрипт, который выполняет ряд действий:
- Останавливает сервисы конкурирующих майнеров
- Проверяет, не заражена ли система уже кампанией SSWW
- Отключает SELinux
- Настраивает huge pages и включает drop_caches для оптимизации XMRig
- Загружает и устанавливает майнер XMRig с встроенной конфигурацией
- Загружает и компилирует простой скрипт для скрытия процессов
- Добавляет скрипт скрытия процессов в /etc/ld.so.preload для работы в качестве пользовательского руткита
- Создает и активирует SystemD юнит для автозапуска майнера
Аналитики выяснили, что атакующие используют кошелек Monero с адресом 44EP4MrMADSYSxmN7r2EERgqYBeB5EuJ3FBEzBrczBRZZFZ7cKotTR5airkvCm2uJ82nZHu8U3YXbDXnBviLj3er7XDnMhP. На момент публикации отчета хакерам удалось добыть около 9.57 XMR (примерно 1 567 долларов).
Несмотря на то, что для сокрытия следов применяется WARP, исследователям удалось определить, что атаки исходят из дата-центра Cloudflare в Загребе, Хорватия.