Аналитики Juniper Networks рассказали о вредоносной кампании, в ходе которой мошенники распространяют приложение для генерации криптовалюты по облачным хранилищам системы управления программными контейнерами Docker. Злоумышленники атакуют неправильно сконфигурированные серверы с открытыми портами и загружают на них майнер Monero, а также сетевого червя для поиска новых целей.

Пакет программ Docker предназначен для упаковки приложений в виртуальные контейнеры, которые могут выполняться в изолированной Unix-среде. Такой подход позволяет разработчикам создавать модули, способные работать на любой системе, вне зависимости от наличия в ней всех необходимых библиотек.

Как выяснили исследователи, целью преступников являются облачные Docker-платформы с открытыми TCP-портами 2375 и 2376. Администратор сервера может защитить эти каналы от проникновения, однако по умолчанию доступ к ним не требует авторизации. Атака строится на использовании легитимных утилит Linux, таких как MASSCAN, up2date, pacman, cURL, а большинство компонентов зловреда загружаются только в память системы, не оставляя следов на диске.

Обнаружив уязвимое хранилище, злоумышленники разворачивают в нем новый контейнер и загружают со своего сервера скрипт auto.sh, а также необходимые для дальнейшей атаки подпрограммы. Далее вредоносное приложение создает в системе новый пользовательский аккаунт с SSH-доступом и доставляет полезную нагрузку. Киберпреступники получают из репозитория Pastebin модифицированный майнер MoneroOcean и запускают его, как системный процесс.

На финальной стадии атаки auto.sh сканирует подключенные к инфицированному серверу подсети с целью поиска других Docker-хостов с незакрытыми портами 2375 и 2376. После обнаружения уязвимых систем зловред загружает в контейнер скрипты test3.sh и test.sh, осуществляющие дальнейшее распространение программы.

Весной этого года контейнеры с криптомайнерами были найдены в официальном репозитории Docker Hub, который предоставляет разработчикам доступ к большому количеству готовых утилит. Злоумышленникам удалось зарегистрировать вредоносные модули в центральном хранилище сервиса как легитимные средства для работы с базами MySQL, Apache Tomcat и cron. По оценкам ИБ-специалистов, в результате криминальной кампании мошенники сумели заработать около $90 тыс.

Категории: Хакеры