Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Злоумышленники начали активно использовать сервис Cloudflare WARP для проведения атак на уязвимые интернет-ресурсы

22/07/24

hack196

Cloudflare WARP - бесплатный VPN-сервис, который оптимизирует трафик, направляя его через международную сеть Cloudflare, поясняет Securitylab. Сервис использует собственную реализацию протокола WireGuard для туннелирования данных до ближайшего дата-центра Cloudflare.

Эксперты отмечают, что основная опасность вредоносного использования WARP кроется в высоком уровне доверия к IP-адресам Cloudflare. Многие сетевые администраторы склонны пропускать такой трафик, считая его частью обычных бизнес-процессов. Более того, некоторые специалисты даже рекомендуют разрешать весь диапазон IP-адресов Cloudflare в файрволах.

Один из примеров - кампания SSWW, нацеленная на майнинг криптовалюты. Злоумышленники атакуют открытые Docker-контейнеры, используя WARP для первоначального доступа. Первый такой инцидент был зафиксирован 21 февраля 2024 года.

Все начинается с создания контейнера, обладающего повышенными привилегиями и доступом к хост-системе. Для этого применяется следующий HTTP-запрос:

IPv4 TCP (PA) 104.28.247.120:19736 -> redacted:2375 POST /containers/create

HTTP/1.1

Host: redacted:2375

Accept-Encoding: identity

User-Agent: Docker-Client/20.10.17 (linux)

Content-Length: 245

Content-Type: application/json

{"Image": "61395b4c586da2b9b3b7ca903ea6a448e6783dfdd7f768ff2c1a0f3360aaba99", "Entrypoint": ["sleep", "3600"], "User": "root", "HostConfig": {"Binds": ["/:/h"], "NetworkMode": "host", "PidMode": "host", "Privileged": true, "UsernsMode": "host"}}

Далее запускается скрипт, который выполняет ряд действий:

  1. Останавливает сервисы конкурирующих майнеров
  2. Проверяет, не заражена ли система уже кампанией SSWW
  3. Отключает SELinux
  4. Настраивает huge pages и включает drop_caches для оптимизации XMRig
  5. Загружает и устанавливает майнер XMRig с встроенной конфигурацией
  6. Загружает и компилирует простой скрипт для скрытия процессов
  7. Добавляет скрипт скрытия процессов в /etc/ld.so.preload для работы в качестве пользовательского руткита
  8. Создает и активирует SystemD юнит для автозапуска майнера

Аналитики выяснили, что атакующие используют кошелек Monero с адресом 44EP4MrMADSYSxmN7r2EERgqYBeB5EuJ3FBEzBrczBRZZFZ7cKotTR5airkvCm2uJ82nZHu8U3YXbDXnBviLj3er7XDnMhP. На момент публикации отчета хакерам удалось добыть около 9.57 XMR (примерно 1 567 долларов).

Несмотря на то, что для сокрытия следов применяется WARP, исследователям удалось определить, что атаки исходят из дата-центра Cloudflare в Загребе, Хорватия.

Темы:УгрозыVPN-сервисыCloudflareCado Security
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...