Плохо защищенные Docker-хосты атакует червь, использующий необычный алгоритм для выбора целей. Об этом заявили специалисты компании Palo Alto Networks, которые изучили зловред и смоделировали его поведение в тестовой системе. Программа, получившая название Graboid (в честь монстров из фильма «Дрожь земли»), внедряет в контейнеры майнер Monero и управляет его работой, следуя особому алгоритму.

Первоначальное заражение происходит через незащищенный демон Docker, который доставляет вредоносный образ на хост-машину. После запуска Graboid обращается к одному из 15 командных серверов и получает четыре сценария для выполнения на инфицированной машине:

  • live.sh передает киберпреступникам информацию о количестве доступных процессоров;
  • worm.sh отвечает за выбор нового объекта атаки по списку IP-адресов;
  • xmr.sh запускает майнер на зараженном хосте;
  • cleanxmr.sh останавливает добычу криптовалюты, а также любые другие скрипты на основе XMRig, которые присутствуют в системе.

Как Graboid добывает криптовалюту

Как выяснили исследователи, операторы Graboid разработали свой способ распределенной добычи криптовалюты. Зловред случайным образом выбирает три цели из списка уязвимых хостов, заражает один из них, останавливает майнер на втором, и при этом запускает добычу токенов на третьей машине.

Таким образом, даже если устройство скомпрометировано, майнинг на нем начинается лишь после того, как его выберет другой зараженный компьютер.

Эксперты выяснили, что на данный момент программа угрожает 2000 машин на платформе Docker CE, половина из которых расположена в Китае, а 13% — в США. Сколько из них уже заражено, неизвестно. По мнению аналитиков, первоначальный вредоносный образ Graboid загрузили более 10 000 раз. Еще 6500 инцидентов пришлись на атаки червя с уже инфицированных компьютеров.

Исследователи смоделировали вредоносную кампанию Graboid и выяснили, что червь может достичь 70% целевых узлов, каждый майнер активен 63% времени, а сессия длится не более 250 секунд. За час Graboid проник на 1400 машин, 900 из которых добывали криптовалюту одновременно.

Хотя зловред ориентирован только на майнинг, его архитектура позволяет доставлять на инфицированные устройства любую полезную нагрузку. Таким образом, его легко переориентировать на установку шифровальщиков или другого вредоносного ПО.

В июне этого года ИБ-специалисты сообщили об атаках ботнета AESDDoS, также ориентированного на Docker-платформы. Злоумышленники искали незащищенные порты 2375 и внедряли зловред в контейнеры с неправильно настроенным API. Ботоводы использовали зараженные узлы для flood-атак пяти различных типов.

Категории: Аналитика, Вредоносные программы