Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Самораспространяющийся майнер Dero через уязвимые Docker API

14
3 мин
Недавний хакерский анализ выявил масштабную и хорошо спланированную кампанию майнинга криптовалюты, направленную на контейнерные среды. Атака использует уязвимые и неправильно настроенные Docker API для проникновения и самораспространения, что позволяет злоумышленникам эффективно создавать и контролировать вредоносные контейнеры без необходимости в централизованном Command and Control сервере. Вредоносный контейнер с названием nginx запускает сканирование внешних сетей в поисках доступных Docker API, используя методику самораспространения. Этот процесс включает в себя следующие ключевые этапы: Вредоносный контейнер nginx написан на Go (Golang) и дополнительно замаскирован с помощью упаковщика UPX. Он автоматизирует даже криминалистический анализ скомпрометированных хостов и контейнеров для оптимизации процесса заражения. Основные компоненты кампании: Все действия вредоносной программы тщательно логируются в файл /var/log/nginx.log. Также, для поддержки «жизни» угрозы, при запуске проис
Оглавление
Источник: securelist.com
Источник: securelist.com

Новая кампания майнинга через уязвимости Docker API: угроза для контейнерных сред

Недавний хакерский анализ выявил масштабную и хорошо спланированную кампанию майнинга криптовалюты, направленную на контейнерные среды. Атака использует уязвимые и неправильно настроенные Docker API для проникновения и самораспространения, что позволяет злоумышленникам эффективно создавать и контролировать вредоносные контейнеры без необходимости в централизованном Command and Control сервере.

Механизм атаки: как это работает

Вредоносный контейнер с названием nginx запускает сканирование внешних сетей в поисках доступных Docker API, используя методику самораспространения. Этот процесс включает в себя следующие ключевые этапы:

  • Поиск открытых и уязвимых Docker API через сгенерированные случайные подсети при помощи инструмента masscan;
  • Создание и запуск вредоносных контейнеров на базе Ubuntu 18.04 с уникальными именами;
  • Автоматическая установка необходимых зависимостей, включая masscan, для дальнейшего расширения сети заражений;
  • Интеграция имплантата в процессы входа в систему shell, что обеспечивает устойчивость вредоносного ПО;
  • Проверка и вторичное заражение уже запущенных контейнеров, не инфицированных ранее, для увеличения вычислительных ресурсов.

Технические особенности вредоносного ПО

Вредоносный контейнер nginx написан на Go (Golang) и дополнительно замаскирован с помощью упаковщика UPX. Он автоматизирует даже криминалистический анализ скомпрометированных хостов и контейнеров для оптимизации процесса заражения.

Основные компоненты кампании:

  • Вредоносное ПО для распространения (nginx) — обеспечивает поиски и запуск новых вредоносных контейнеров;
  • Криптомайнер Dero — добывает криптовалюту Dero, используя жёстко заданные адреса кошельков и узлов.

Все действия вредоносной программы тщательно логируются в файл /var/log/nginx.log. Также, для поддержки «жизни» угрозы, при запуске происходит проверка отсутствия файла version.dat, что сигнализирует о чистой системе для запуска процесса заражения.

Уникальные характеристики и масштабы угрозы

  • Отсутствие централизованного Command and Control сервера — делает кампанию более устойчивой и масштабируемой;
  • Использование шифрования конфигурационных файлов — говорит об изощренности и профессионализме злоумышленников;
  • Целевые адреса уже связывались с предыдущими атаками на Kubernetes кластеры с неправильно настроенными API;
  • Экспоненциальный рост числа заражённых систем за счёт механизма самораспространения.

Почему атаки на контейнерные среды столь опасны?

Контейнерные инфраструктуры всё чаще используются в современных облачных и корпоративных системах, а их безопасность напрямую зависит от правильной настройки API и контроля доступа. Несмотря на то что подобные атаки случаются реже, их последствия могут быть катастрофическими.

Эксперты подчёркивают важность:

  • Настроек и ограничения доступа к Docker API, особенно для публично доступных интерфейсов;
  • Тщательного мониторинга активности в контейнерных средах;
  • Использования упреждающего поиска угроз и анализа поведения контейнеров;
  • Необходимо понимать, что даже использование легитимных изображений контейнеров не гарантирует защиту от подобных скрытых кибератак.

Выводы

Описанная кампания майнинга через уязвимости Docker API — это тревожный сигнал для всех организаций, использующих контейнерные технологии. Автоматизация инфицирования и криптомайнинг без центрального управления делают её высокоэффективной и сложной для обнаружения.

Текущий инцидент напоминает о необходимости:

  1. Строгих политик безопасности при работе с контейнерами;
  2. Интеграции современных средств обнаружения угроз;
  3. Постоянного аудита и обновления конфигураций контейнерных платформ.

В эпоху активнорастущего использования контейнеризации, игнорирование подобных угроз может привести к значительным финансовым и репутационным потерям.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Самораспространяющийся майнер Dero через уязвимые Docker API".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Технологии в финансах
65 тыс интересуются