03.02.2024 | Commando Cat: украденные данные, бэкдоры и криптомайнинг |
Открытые конечные точки Docker API подвергаются атакам через интернет в рамках сложной кампании криптоджекинга под названием «Commando Cat». «В операции используется безопасный контейнер, созданный с использованием проекта Commando », — объяснили исследователи безопасности Cado Security . «Злоумышленники нашли способ выйти из этого контейнера и запустить произвольные полезные нагрузки на хосте Docker». Предполагается, что кампания активна с начала 2024 года. Это уже вторая подобная кампания, выявленная за последние пару месяцев. В середине января эксперты обнаружили ещё один кластер атак на уязвимые Docker-хосты для развёртывания криптомайнера XMRig и программного обеспечения 9Hits Viewer. В рамках рассматриваемой операции Docker используется в качестве первоначального вектора доступа для доставки набора взаимозависимых вредоносных программ с сервера злоумышленников. Этот сервер отвечает за сохранение постоянного присутствия в системе, установку бэкдоров, эксфильтрацию учётных данных поставщиков облачных служб и непосредственно запуск криптомайнера. Полученный доступ к уязвимым экземплярам Docker в дальнейшем используется для развёртывания безвредного контейнера с помощью открытого инструмента Commando и выполнения вредоносной команды, позволяющей «вырваться» за пределы контейнера с помощью chroot. Также выполняется серия проверок на наличие активных служб с именами «sys-kernel-debugger», «gsc», «c3pool_miner» и «dockercache» на скомпрометированной системе. Следующий этап начинается только в том случае, если эта проверка проходит успешно, и включает в себя получение дополнительных вредоносных программ с командного сервера злоумышленников. Среди получаемых программ — скрипт- бэкдор «user.sh», способный добавлять SSH-ключи и создавать поддельных пользователей с известными злоумышленникам паролями и правами суперпользователя. Также доставляются скрипты «tshd.sh», «gsc.sh» и «aws.sh» для установки бэкдоров и эксфильтрации учётных данных. Атака завершается развёртыванием ещё одной полезной нагрузки в виде скрипта, закодированного в Base64, который устанавливает майнер криптовалют XMRig, предварительно удалив конкурирующие майнеры с заражённой машины. Точное происхождение угрозы пока неизвестно, хотя обнаружены пересечения со скриптами и IP-адресами командного сервера групп криптоджекеров TeamTNT. Возможно, речь идёт о группировке-подражателе. По словам исследователей, «это вредоносное ПО функционирует как похититель учётных данных, скрытный бэкдор и криптомайнер одновременно». Это делает его универсальным инструментом для максимального использования ресурсов инфицированных машин. |
Проверить безопасность сайта