28.10.2022 | Пользователи Docker и Kubernetes рискуют поцеловать собаку |
Исследователи ИБ-компании CrowdStrike обнаружили новую кампанию криптоджекинга, нацеленную на уязвимые инфраструктуры Docker и Kubernetes. Эксперты назвали кампанию «Kiss-a-dog», поскольку ее инфраструктура управления и контроля (C&C) пересекается с инфраструктурой группировки TeamTNT , которая атакует неправильно настроенные экземпляры Docker и Kubernetes. Вторжения, обнаруженные в сентябре 2022 года, получили свое название от домена с именем «kiss.a-dog[.]top», который используется для запуска полезной нагрузки сценария оболочки на скомпрометированном контейнере с помощью команды Python в кодировке Base64. «URL-адрес, используемый в полезной нагрузке, скрыт обратной косой чертой для обхода автоматического декодирования, а сопоставление регулярных выражений извлекает вредоносный домен», — сказал исследователь CrowdStrike Манодж Ахудже в техническом анализе. В конечном итоге хакеры выходят из контейнера и перемещаются во взломанную сеть, одновременно завершая и удаляя облачные службы мониторинга. Для уклонения от обнаружения и скрытия вредоносных процессов кампания использует руткиты Diamorphine и libprocesshide . При этом libprocesshide скомпилирован в виде разделяемой библиотеки, что позволяет злоумышленникам внедрять вредоносные общие библиотеки в каждый процесс, созданный в скомпрометированном контейнере. Конечная цель кампании — скрытая добыча криптовалюты с использованием ПО для майнинга XMRig, а также эксплуатация уязвимых экземпляров Redis и Docker для майнинга и других последующих атак. |
Проверить безопасность сайта