Преступники взламывают кластеры Docker через административные API-порты, незащищенные паролем.
В течение последних нескольких месяцев преступники в ходе вредоносной кампании сканируют Сеть на предмет уязвимых Docker-серверов, использующих незащищенные паролем API-порты. Затем злоумышленники взламывают незащищенные хосты и устанавливают новую разновидность криптовалютного майнера под названием Kinsing.
По словам специалистов из компании Aqua Security, атаки начались в прошлом году и продолжаются до сих пор. Когда преступники находят уязвимый Docker-сервер с открытым API-портом, они используют доступ для запуска контейнера Ubuntu, где они загружают и устанавливают вредоносное ПО Kinsing.
Основная цель вредоносной программы — добыча криптовалюты на взломанном сервере, но она также выполняет и другие задачи. К ним относятся выполнение скриптов, удаляющих другие локальные вредоносные программы, а также сбор локальных учетных данных SSH с целью распространения в контейнерную сеть компании заражения других облачных систем.
Поскольку атаки Kinsing все еще продолжаются, эксперты рекомендуют компаниям проверить параметры безопасности своих серверов и убедиться, что никакие административные API-порты не доступны в Сети.
5778 К? Пф! У нас градус знаний зашкаливает!