Об этом сообщили специалисты Trend Micro, детально разобравшие схему эксплуатации уязвимых систем.
В основе схемы — использование открытых API-интерфейсов Docker, которые нередко остаются без должной защиты. Злоумышленники отправляют с IP-адреса 198.199.72[.]27 запрос на получение списка всех контейнеров на целевой машине. Если подходящих контейнеров не обнаруживается, они создают новый — на базе лёгкого образа Alpine.
При этом особенно тревожным, согласно Securitylab, выглядит тот факт, что в этот контейнер монтируется корневая директория хостовой машины — «/hostroot». Это означает, что злоумышленники получают прямой доступ к файлам и структуре физического или виртуального сервера. Такой подход создаёт серьёзную угрозу побега контейнера и полного контроля над системой.
Следом начинается тщательно подготовленная цепочка действий. В контейнер внедряется зашифрованный в Base64 скрипт, который устанавливает Tor — популярный инструмент для анонимного выхода в интернет. Через Tor злоумышленники скачивают и исполняют удалённый скрипт с домена .onion: «wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion». Этот шаг позволяет полностью скрыть источник атаки, а также замаскировать управление заражённой инфраструктурой.
Весь сетевой трафик, включая DNS-запросы, пропускается через Tor с использованием протокола socks5h . Это делает активность злоумышленников практически невидимой для стандартных средств мониторинга.
После развертывания контейнера выполняется скрипт docker-init.sh, который проверяет наличие ранее смонтированной директории /hostroot. Если она есть, атакующие изменяют конфигурацию SSH-сервера хоста: разрешают удалённый доступ для root-пользователя и добавляют собственный SSH-ключ в файл authorized_keys. Это даёт злоумышленникам полный удалённый контроль над машиной. Такой подход позволяет злоумышленникам избежать обнаружения, а сам процесс заражения и развертывания майнера максимально упрощается.