Пользователи Docker и Kubernetes рискуют поцеловать собаку

Исследователи ИБ-компании CrowdStrike обнаружили новую кампанию криптоджекинга, нацеленную на уязвимые инфраструктуры Docker и Kubernetes.

Эксперты назвали кампанию «Kiss-a-dog», поскольку ее инфраструктура управления и контроля (C&C) пересекается с инфраструктурой группировки TeamTNT , которая атакует неправильно настроенные экземпляры Docker и Kubernetes.

Вторжения, обнаруженные в сентябре 2022 года, получили свое название от домена с именем «kiss.a-dog[.]top», который используется для запуска полезной нагрузки сценария оболочки на скомпрометированном контейнере с помощью команды Python в кодировке Base64.

«URL-адрес, используемый в полезной нагрузке, скрыт обратной косой чертой для обхода автоматического декодирования, а сопоставление регулярных выражений извлекает вредоносный домен», — сказал исследователь CrowdStrike Манодж Ахудже в техническом анализе.

В конечном итоге хакеры выходят из контейнера и перемещаются во взломанную сеть, одновременно завершая и удаляя облачные службы мониторинга.

Для уклонения от обнаружения и скрытия вредоносных процессов кампания использует руткиты Diamorphine и libprocesshide . При этом libprocesshide скомпилирован в виде разделяемой библиотеки, что позволяет злоумышленникам внедрять вредоносные общие библиотеки в каждый процесс, созданный в скомпрометированном контейнере.

Конечная цель кампании — скрытая добыча криптовалюты с использованием ПО для майнинга XMRig, а также эксплуатация уязвимых экземпляров Redis и Docker для майнинга и других последующих атак.