SECURITY CAPSULE SIEM

Познакомьтесь с нашим решением по мониторингу событий
и выявлению инцидентов информационной безопасности

SC SIEM выигрывает там, где важна скорость, минимальные ресурсы и возможность быстро создать правила корреляции

КОНТРОЛИРУЙТЕ РИСКИ -

Тестирование на проникновение как стратегическая мера защиты бизнеса

Пентест выявляет уязвимости до злоумышленников, подтверждает готовность к требованиям регуляторов и помогает руководителю управлять киберрисками без сюрпризов.

TTL OSINT

УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК

Пентест для устойчивости и соответствия требованиям

Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.

Протестировать

13.06.2024 86 2 мин.

Злоумышленники внедряют новую тактику в кампании, нацеленной на уязвимые API-интерфейсы Docker

В этой статье обсуждается новая кампания, нацеленная на уязвимые API-интерфейсы Docker, в рамках которой злоумышленники распространяют вредоносное ПО для криптоджекинга. Кампания, которая имеет сходство с Spinning YARN, начинается с того, что злоумышленник сканирует Интернет в поисках хостов с открытым портом 2375. Как только действительный хост идентифицирован, злоумышленник использует его, запрашивая его версию Docker и создавая контейнер Alpine Linux с правами суперпользователя. Затем злоумышленник повышает свои привилегии и записывает сценарий оболочки в кодировке base64 в задание cron, которое извлекает и постоянно выполняет дополнительную полезную нагрузку, используя исполняемый файл vurl. Заключительный этап кампании включает в себя выборку и выполнение нового сценария оболочки, который может загружать и выполнять либо ar.sh, либо ai.sh, при этом полезная нагрузка ai.sh в настоящее время не обрабатывается. Двоичный файл vurl, скомпилированный из кода Go, используется для подключения к доменам C2, контролируемым злоумышленниками, и получения дополнительной полезной нагрузки. Вредоносная программа предполагает, что пользователь является пользователем root, и использует двоичный файл curl для получения и выполнения полезной нагрузки ai.sh при запуске от имени обычного пользователя.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://securitylabs.datadoghq.com/articles/attackers-deploying-new-tactics-in-campaign-targeting-exposed-docker-apis/

Выборочные показатели Compromise:

51de345f677f46595fc3bd747bfb61bc9ff130adcbec48f3401f8057c8702af9
m.9-9-14.com
12481d3fbcee0ed5aa8a9c8bc1aeb71bf9439cbddf68e8cd275c2a90b26ec0ad
b.9-9-12.com
m.9-9-13.com

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал

Возврат к списку