Неправильно настроенные инстансы Docker становятся легкой добычей для злоумышленников, которые через сеть Tor незаметно запускают криптомайнеры на уязвимых серверах.
«Хакеры эксплуатируют открытые Docker API, чтобы получить доступ к контейнерам, а затем используют Tor, чтобы скрыть свои действия при запуске майнеров», — объясняют специалисты Trend Micro Sunil Bharti и Shubham Singh в своем последнем отчёте.
Сеть Tor используется для анонимизации атаки, пока на взломанные системы устанавливается майнер. Нападения начинаются с запроса с IP-адреса 198.199.72[.]27, который получает список контейнеров на сервере.
Если на машине нет контейнеров, злоумышленник создаёт новый на базе лёгкого образа Docker "alpine" и монтирует каталог "/hostroot" — корневой каталог ("/") хоста — как том внутри контейнера. Это серьёзно компрометирует безопасность, так как позволяет контейнеру изменять файлы и папки сервера, фактически выходя за пределы изоляции.
Далее запускается тщательно подготовленный shell-скрипт в кодировке Base64, который устанавливает Tor внутри контейнера при его создании, а затем загружает и выполняет удалённый скрипт с .onion-адреса ("wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion").
«Это классический приём: злоумышленники маскируют сервера управления, избегают обнаружения и внедряют вредоносное ПО или майнеры в облачные и контейнерные среды», — поясняют исследователи. «При этом весь трафик направляется через протокол 'socks5h' с разрешением DNS через Tor, что повышает анонимность и помогает обходить защиту.»
После создания контейнера запускается скрипт "docker-init.sh", который проверяет монтирование "/hostroot", меняет конфигурацию SSH, чтобы разрешить удалённый доступ с root-доступом, и добавляет управляемый злоумышленником ключ в файл ~/.ssh/authorized_keys.
Злоумышленники также устанавливают различные утилиты — masscan, libpcap, zstd, torsocks — а затем отправляют на сервер управления информацию о заражённом устройстве. После этого скачивается бинарный файл-распространитель (dropper) криптомайнера XMRig вместе с конфигурацией для майнинга, включая адреса кошельков и пулов.
«Этот приём позволяет хакерам оставаться незаметными и быстро внедрять майнеры в скомпрометированные среды», — отмечают эксперты Trend Micro, указывая, что атаки зафиксированы в компаниях из IT, финансовой сферы и здравоохранения.
Данные свидетельствуют о продолжающейся волне атак, цель которых — неправильно настроенные или слабо защищённые облачные инфраструктуры, используемые для майнинга криптовалюты.
Одновременно исследование Wiz выявило сотни конфиденциальных данных — включая ключи и пароли — в публичных репозиториях, обнаруженных в файлах mcp.json, .env, конфигурациях AI-агентов и Jupyter notebooks (.ipynb), что является настоящей находкой для хакеров.
Компания обнаружила валидные секреты более чем у 30 организаций, включая представителей Fortune 100.
«Кроме самих секретов, результаты выполнения кода в Jupyter notebooks тоже следует считать конфиденциальной информацией», — подчёркивают исследователи Шай Бeркович и Рами МакКарти. «Связав эти данные с компанией-разработчиком, злоумышленники получают ценную разведывательную информацию».
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru