Исследователи из Trend Micro изучили криптоджекинговую кампанию, в рамках которой злоумышленники атакуют хосты с открытым Docker API для внедрения бота с майнером Monero. Поиск пригодных для заражения объектов в Сети автоматизирован; для этого зловред использует скрипт Shodan.

Раскрыть детали схемы экспертам удалось после того, как злоумышленники атаковали приманку-ханипот. В рабочей среде ловушки специалисты обнаружили образ контейнера с бинарным кодом криптомайнера. Он был загружен из репозитория Docker Hub, принадлежащего пользователю zoolu2.

В этом хранилище исследователи нашли девять образов с бинарниками, Python-скриптами и конфигурационными файлами, необходимыми для установки майнера и обращения к поисковому движку Shodan.

Учетная запись zoolu2 была заблокирована, но, судя по комментариям на GitHub, ее владельцы вновь и вновь пытаются вернуться под другими именами.

По мнению исследователей, зараженные образы используются для построения майнингового ботнета. Некоторые образцы зловреда способны с помощью Shodan находить хосты с Docker API и открытым портом 2375, пригодные для дальнейшего распространения криптомайнера.

Для взаимодействия со злоумышленниками на зараженных машинах запускается SSH-демон, а в фоновом режиме — майнер Monero и скрипт для поиска новых жертв. Список найденных уязвимых хостов зловред заносит в файл iplist.txt, который проверяет на наличие дубликатов, и затем отправляет на C&C-серверы злоумышленников.

Использование Docker Hub становится распространенной среди кибермошенников практикой. Майнеры Monero появлялись в репозитории под видом средств для работы с Apache, Tomcat, MySQL и другим популярным ПО еще в марте 2018 года. Принципиальным отличием текущей мошеннической схемы исследователи называют скрипты, задействующие Shodan API для поиска новых жертв.

Чтобы защититься от действий злоумышленников, эксперты советуют обеспечить доступ к Docker API только из внутренней сети и только доверенным источникам. Кроме того, они рекомендуют использовать официальные и сертифицированные образы контейнеров и не запускать их с правами суперпользователя.

Категории: Вредоносные программы, Уязвимости