Новости Commando Cat: как хакеры превращают ваши серверы в майнинг-фермы

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Срочно проверьте настройки Docker, чтобы остановить возможную атаку.


ut0ueadz2h2vunrahx4c5x7xjcqjahf7.jpg


Группа киберпреступников Commando Cat Для просмотра ссылки Войди или Зарегистрируйся финансово-мотивированную кампанию криптоджекинга , направленную на неправильно настроенные Docker -инстансы.

Названная так из-за использования проекта Commando для создания контейнеров, группировка Для просмотра ссылки Войди или Зарегистрируйся Cado Security в начале этого года.

Злонамеренная деятельность киберпреступников включает в себя создание контейнеров с помощью образа «cmd.cat/chattr», после чего они могут управлять Docker на скомпрометированном хосте.

Процесс каждой атаки начинается с проверки доступности Docker Remote API сервера. После подтверждения доступности, происходит создание контейнера, который позволяет злоумышленникам выйти на уровень операционной системы хоста.

Если необходимый образ отсутствует, атакующие извлекают его из репозитория «cmd.cat», после чего следует создание контейнера. В ходе этого процесса злоумышленники выполняют строку, закодированную в base64, которая расшифровывается в скрипт. Этот скрипт проверяет наличие файла в системе и, если файл отсутствует, загружает и выполняет вредоносный бинарный файл ZiggyStarTux — IRC-бот с открытым исходным кодом, основанный на вредоносном ПО Kaiten (он же Tsunami).

Хотя C2-сервер злоумышленников был недоступен на момент анализа исследователями, наличие определённых строк User-Agent в бинарном коде позволило отследить наличие этого ПО в сети.


28zjcru491oyxrdb65juqp9o6rxazfx5.png


Схема атаки

«Значимость этой атаки заключается в использовании Docker-образов для развёртывания криптоджекинговых скриптов на компрометированных системах», — отметили исследователи Trend Micro . «Эта тактика позволяет злоумышленникам эксплуатировать уязвимости в конфигурациях Docker и избегать обнаружения антивирусным ПО».

Для защиты окружений разработки от подобных атак, рекомендуется тщательно настраивать контейнеры и API, использовать только официальные или сертифицированные образы и проводить регулярные аудиты безопасности.
 
Источник новости
www.securitylab.ru

Похожие темы