Новая кампания, направленная на уязвимые сервисы Docker, развертывает майнер XMRig и приложение 9hits viewer на взломанных хостах, что позволяет использовать двойную стратегию монетизации.
9hits - это платформа для обмена веб-трафиком, где участники могут генерировать трафик на сайты друг друга.
Этот трафик генерируется приложением 9hits viewer, установленным на устройствах участников, которое использует безголовый экземпляр Chrome для посещения сайтов, запрашиваемых другими участниками. В свою очередь, эти пользователи зарабатывают кредиты, которые можно использовать для оплаты трафика на своих сайтах.
В кампании, обнаруженной Cado Security, злоумышленники устанавливают приложение 9hits viewer на взломанные хосты Docker, чтобы генерировать кредиты для себя, эксплуатируя ресурсы этих систем для получения трафика в рамках системы обмена трафиком 9hits.
"Это первый задокументированный случай, когда вредоносное ПО развертывает приложение 9hits в качестве полезной нагрузки, - поясняется в отчете Cado Security которым поделилась компания genshin.
Подробности атаки
Хотя пока неясно, как злоумышленники находят системы для взлома, Кадо считает, что они, скорее всего, используют продукт для сканирования сети, например Shodan, чтобы обнаружить уязвимые серверы и взломать их, чтобы развернуть вредоносные контейнеры через API Docker.
Контейнеры находятся в образах, полученных с Dockerhub, чтобы уменьшить подозрения. Сценарий распространителя, захваченный в Docker honeypot компании Cado, использует CLI Docker для установки переменной DOCKER_HOST и использует типичные вызовы API для извлечения и запуска контейнеров.
Контейнер 9hits запускает скрипт (nh.sh) с маркером сессии, позволяющим ему аутентифицироваться и генерировать кредиты для злоумышленника путем посещения списка веб-сайтов.
Система сеансовых маркеров разработана для безопасной работы даже в недоверенных средах, что позволяет злоумышленнику получать прибыль без риска быть забаненным.
Злоумышленники задали определенные аргументы для приложения 9hits, например, разрешили всплывающие окна или посещение сайтов для взрослых, но запретили сайты, связанные с криптовалютами.
Другой контейнер запускает майнер XMRig, который добывает для злоумышленника криптовалюту Monero, используя ресурсы облачной системы.
Майнер подключается к частному майнинговому пулу, что делает невозможным отслеживание масштабов кампании или ее прибыли. Кадо отмечает, что домен, используемый для майнингового пула, позволяет предположить, что злоумышленник может использовать динамические DNS-сервисы для сохранения контроля.
"Основное воздействие этой кампании на скомпрометированные узлы - истощение ресурсов, поскольку майнер XMRig будет использовать все доступные ресурсы процессора, а 9hits - большое количество пропускной способности, памяти и оставшегося процессора", - говорится в отчете Cado Security. комментирует Cado Security в своем отчете..
"В результате этого легитимные рабочие нагрузки на зараженных серверах не смогут работать так, как ожидалось".
Обнаруженная Cado кампания показывает, что угрожающие лица постоянно ищут альтернативные каналы монетизации помимо традиционных методов, таких как криптомайнинг, диверсифицируют свои атаки и используют более скрытые пути.
Платформы, которыми пользуются угрожающие лица, такие как 9hits, нуждаются в более строгих проверках и политиках безопасности, чтобы предотвратить несанкционированное использование их приложений, которое может нанести финансовый ущерб и нарушить работу организаций.
Компании, инвестирующие в облачные вычисления, вынуждены ориентироваться в сложной обстановке.
Для достижения этой цели необходимо использовать модели нулевого доверия, платформы защиты рабочей нагрузки в облаке (CWPP) и управление безопасностью в облаке (CSPM) для улучшения видимости, управления конфигурациями и защиты открытых активов.
Если тебе понравилась статья - подпишись на канал, чтобы не пропустить ещё много полезных статей!
Также ты можешь читать меня здесь:
- Телеграм: https://t.me/gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru
