Docker Swarm как оружие: что задумали киберпреступники?

Исследователи из компании Datadog выявили новую кампанию криптоджекинга, направленную на Docker Engine API, целью которой является подключение контейнеров к управляемому злоумышленниками Docker Swarm. Эта кампания позволяет злоумышленникам использовать функции оркестрации Docker Swarm в качестве механизма командного управления.

В ходе атак злоумышленники получают начальный доступ через Docker для установки майнера криптовалют на скомпрометированные контейнеры, а также загружают дополнительные скрипты, обеспечивающие возможность бокового перемещения по сети к хостам с Docker, Kubernetes или SSH. Уязвимости выявляются с помощью инструментов интернет-сканирования, таких как masscan и ZGrab.

На уязвимых точках доступа Docker API запускается контейнер Alpine, после чего загружается скрипт «init.sh» с удалённого сервера «solscan[.]live». Скрипт проверяет наличие root-прав и инструментов curl и wget, а затем устанавливает майнер XMRig. Чтобы скрыть процесс майнинга, используется руткит libprocesshider, затрудняя обнаружение через системные команды.

Дополнительно скрипт «init.sh» скачивает три других скрипта — «kube.lateral.sh», «spread_docker_local.sh» и «spread_ssh.sh» — которые позволяют атакующим перемещаться по Docker, Kubernetes и SSH в сети. Например, «spread_docker_local.sh» сканирует локальную сеть на наличие открытых портов, связанных с Docker Engine и Docker Swarm, и при обнаружении открытых портов запускает контейнер на основе образа upspin с Docker Hub, чтобы распространять вредоносный код на другие хосты Docker.

Интересно, что образ Docker upspin указан в текстовом файле на C2-сервере, что позволяет злоумышленникам легко изменять его в случае блокировки, указывая на другой контейнер. Скрипт «spread_ssh.sh» способен взламывать SSH-серверы, добавлять SSH-ключ и создавать пользователя с именем «ftp» для сохранения постоянного доступа.

Последний этап атаки заключается в запуске скрипта «setup_mr.sh», который извлекает и активирует майнер криптовалюты. Кроме того, на C2-сервере обнаружены дополнительные скрипты, такие как «ar.sh», «TDGINIT.sh» и «pdflushs.sh», которые изменяют правила iptables, скачивают сканирующие инструменты, устанавливают бэкдор и изменяют конфигурацию Docker Swarm для расширения контроля над Docker-хостами.

Кампания связана с известной группой TeamTNT, которая ранее применяла схожие тактики. Эксперты предупреждают, что подобные атаки криптоджекинга на Docker и Kubernetes остаются популярными из-за высокой прибыли и возможности быстрой автоматизации, что мотивирует злоумышленников на продолжение их проведения.

Ранее мы сообщали, что компания Elastic Security Labs раскрыла кампанию с использованием сложного вредоносного ПО на Linux, нацеленную на уязвимые Apache-серверы. В ходе атаки злоумышленники устанавливают постоянный доступ через GSocket и разворачивают такие семейства вредоносных программ, как Kaiji и RUDEDEVIL для проведения DDoS-атак и майнинга криптовалют.