TTL OSINT
УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК
Пентест для устойчивости и соответствия требованиям
Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.
ПротестироватьЗлоумышленники используют Docker Swarm и Kubernetes для масштабного майнинга криптовалют
В этой статье рассматривается новая вредоносная кампания, нацеленная на микросервисные технологии, в частности на Docker и Kubernetes, для масштабного майнинга криптовалют. Атака начинается с вредоносной команды на конечные точки Docker API, подключенные к Интернету без проверки подлинности. Вредоносная программа использует Docker API для создания контейнера Alpine, монтирует файловую систему базового хоста внутри контейнера и выполняет команду оболочки для получения сценария инициализации, ответственного за запуск цепочки заражения. Сценарий инициализации подготавливает контейнер к дополнительной обработке, устанавливая средства передачи данных и определяя, запущен ли он от имени пользователя root. Если это так, он извлекает официальный сценарий установки XMRig с GitHub и выполняет его с пользовательской строкой пользователя XMRig. Чтобы скрыть процесс после выполнения, скрипт извлекает с сервера C2 скрытый файл процесса, скомпилированный как общий объектный файл Linux, и сохраняет его как /etc/rig.so. Затем общий объект регистрируется динамическим компоновщиком, повторяя его путь в файле /etc/ld.so.preload, гарантируя, что файл будет выполняться каждый раз, когда в системе выполняется другой двоичный файл. Вредоносная программа также извлекает пользовательскую версию XMRig, если пользователь не имеет прав root, и сохраняет ее как /var/tmp/docker перед запуском. Кроме того, в статье рассматриваются методы бокового перемещения, используемые злоумышленниками, которые аналогичны тем, о которых Trend Micro сообщала в кампании TeamTNT в мае 2021 года.
Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.
Выборочные показатели Compromise:
- 6157a74926cfd66b959d036b1725a63c704b76af33f59591c15fbf85917f76fa
- https://solscan.live/bin/64bit/xmrig
- https://solscan.live/aws.sh
- https://solscan.live/so/xmrig.so
- https://solscan.live/sh/search.sh
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
НКЦКИ (ГосСОПКА):
Соблюдайте требования государства — защищайте бизнес
Подключение к НКЦКИ — это гарантия соответствия 187-ФЗ.
Подключиться
