Злоумышленники запускают контейнерный образ под названием «kazutod/tene:ten», размещённый на Docker Hub. С момента загрузки он было скачан 325 раз. После запуска образ активирует Python-скрипт, который проходит 63 стадии распаковки, прежде чем установить соединение с сервером «teneo[.]pro». Весь код тщательно обфусцирован, что усложняет его анализ.
Особенность атаки заключается в том, что вместо стандартного майнинга используется способ генерации токенов $TENEO за счёт пассивного подключения к одноимённой платформе. Эта система позиционируется как децентрализованная инфраструктура, поощряющая сбор публичных данных из соцсетей. Однако в зафиксированной атаке никакого реального скрейпинга не происходит: вредонос лишь поддерживает постоянное соединение с WebSocket, отправляя сигналы активности — так называемые heartbeats. Эти «пульсы» и позволяют получать внутренние очки Teneo Points, конвертируемые в криптовалюту.
Отказ от XMRig объясняется его высокой уязвимостью перед современными средствами защиты, согласно Securitylab. Вместо этого злоумышленники осваивают менее очевидные и лучше замаскированные схемы. Доходность новой модели пока вызывает вопросы, однако её устойчивость к обнаружению делает её особенно опасной.
Новые методы криптодобычи и заражения показывают, насколько быстро трансформируются угрозы в цифровом пространстве. Это требует от компаний немалой гибкости в подходах к защите облачных и контейнерных решений.