Майнинг без майнинга, но с 63 уровнями обфускации — чего добиваются хакеры?
Как преступники получают крипту, даже не добывая её.
В последнее время криптомайнеры используют всё более нестандартные подходы, и новая вредоносная кампания, обнаруженная исследователями Darktrace и Cado Security, подтверждает эту тенденцию . В отличие от традиционных атак с использованием XMRig, злоумышленники теперь нацеливаются на Docker-среды, внедряя необычную схему, связанную с Web3-платформой Teneo.
Злоумышленники запускают контейнерный образ под названием «kazutod/tene:ten», размещённый на Docker Hub. С момента загрузки он было скачан 325 раз. После запуска образ активирует Python-скрипт, который проходит 63 стадии распаковки, прежде чем установить соединение с сервером «teneo[.]pro». Весь код тщательно обфусцирован, что усложняет его анализ.
Особенность атаки заключается в том, что вместо стандартного майнинга используется способ генерации токенов $TENEO за счёт пассивного подключения к одноимённой платформе. Эта система позиционируется как децентрализованная инфраструктура, поощряющая сбор публичных данных из соцсетей. Однако в зафиксированной атаке никакого реального скрейпинга не происходит: вредонос лишь поддерживает постоянное соединение с WebSocket, отправляя сигналы активности — так называемые heartbeats. Эти «пульсы» и позволяют получать внутренние очки Teneo Points, конвертируемые в криптовалюту.
Схема напоминает другую волну атак , связанную с установкой ПО 9Hits Viewer на скомпрометированные Docker-инстансы. Тогда целью было создание искусственного трафика на сайты для получения кредитов. Подобные действия перекликаются с практикой Proxyjacking , когда жертвы невольно делятся пропускной способностью в обмен на виртуальное вознаграждение.
Отказ от XMRig объясняется его высокой детектируемостью современными средствами защиты. Вместо этого злоумышленники осваивают менее очевидные и лучше замаскированные схемы. Доходность новой модели пока вызывает вопросы, однако её устойчивость к обнаружению делает её особенно опасной.
Новые методы криптодобычи и заражения показывают, насколько быстро трансформируются угрозы в цифровом пространстве. Это требует от компаний немалой гибкости в подходах к защите облачных и контейнерных решений.