VPN для безопасного серфинга в России – купи через наш Телеграмм-бот:
|
В своих атаках злоумышленники преследуют сразу несколько целей…
Открытые конечные точки Docker API подвергаются атакам через интернет в рамках сложной кампании криптоджекинга под названием «Commando Cat».
«В операции используется безопасный контейнер, созданный с использованием проекта Commando », — объяснили исследователи безопасности Cado Security. «Злоумышленники нашли способ выйти из этого контейнера и запустить произвольные полезные нагрузки на хосте Docker».
Предполагается, что кампания активна с начала 2024 года. Это уже вторая подобная кампания, выявленная за последние пару месяцев. В середине января эксперты обнаружили ещё один кластер атак на уязвимые Docker-хосты для развёртывания криптомайнера XMRig и программного обеспечения 9Hits Viewer.
В рамках рассматриваемой операции Docker используется в качестве первоначального вектора доступа для доставки набора взаимозависимых вредоносных программ с сервера злоумышленников. Этот сервер отвечает за сохранение постоянного присутствия в системе, установку бэкдоров, эксфильтрацию учётных данных поставщиков облачных служб и непосредственно запуск криптомайнера.
Забудь про блокировки! VPN через Телеграмм-бот для России!
|
Полученный доступ к уязвимым экземплярам Docker в дальнейшем используется для развёртывания безвредного контейнера с помощью открытого инструмента Commando и выполнения вредоносной команды, позволяющей «вырваться» за пределы контейнера с помощью chroot.
Также выполняется серия проверок на наличие активных служб с именами «sys-kernel-debugger», «gsc», «c3pool_miner» и «dockercache» на скомпрометированной системе. Следующий этап начинается только в том случае, если эта проверка проходит успешно, и включает в себя получение дополнительных вредоносных программ с командного сервера злоумышленников.
Среди получаемых программ — скрипт-бэкдор «user.sh», способный добавлять SSH-ключи и создавать поддельных пользователей с известными злоумышленникам паролями и правами суперпользователя. Также доставляются скрипты «tshd.sh», «gsc.sh» и «aws.sh» для установки бэкдоров и эксфильтрации учётных данных.
Атака завершается развёртыванием ещё одной полезной нагрузки в виде скрипта, закодированного в Base64, который устанавливает майнер криптовалют XMRig, предварительно удалив конкурирующие майнеры с заражённой машины.
Точное происхождение угрозы пока неизвестно, хотя обнаружены пересечения со скриптами и IP-адресами командного сервера групп криптоджекеров TeamTNT. Возможно, речь идёт о группировке-подражателе.
По словам исследователей, «это вредоносное ПО функционирует как похититель учётных данных, скрытный бэкдор и криптомайнер одновременно». Это делает его универсальным инструментом для максимального использования ресурсов инфицированных машин.
Ты не вирус, но мы видим, что ты активен!
Подпишись, чтобы защититься
Онлайн VPN сервис — это виртуальная частная сеть (VPN), доступная для использования через интернет. Такие сервисы позволяют пользователям безопасно и анонимно подключаться к интернету, защищая их данные и обеспечивая конфиденциальность в сети. Онлайн VPN сервисы становятся все более популярными, так как они предоставляют простое и удобное решение для защиты интернет-трафика.
Онлайн VPN сервис — это важный инструмент для обеспечения безопасности и конфиденциальности в интернете. Он позволяет защитить ваши данные, обходить блокировки и сохранять анонимность. Выбор надежного онлайн VPN поможет вам безопасно серфить в интернете и защитить свою личную информацию.
