Kriptobányászat nyilvános Docker API-k kihasználásával

Kiberbiztonsági kutatók egy új malware kampányt azonosítottak, amely a nyilvánosan hozzáférhető Docker API végpontokat használja ki kriptopénz bányász alkalmazások és más rosszindulatú hasznos terhek telepítésére. A Datadog által részletezett kampány egy távoli hozzáférési eszközt tartalmaz, amely további rosszindulatú szoftverek letöltésére és végrehajtására képes, valamint egy segédprogramot a fertőzés SSH-n keresztül történő terjesztésére. Ez a tevékenység hasonlóságokat mutat a korábbi Spinning YARN kampánnyal, amely olyan rosszul konfigurált szolgáltatásokat célzott meg kripto valuta bányászatra, mint az Apache Hadoop YARN, a Docker, az Atlassian Confluence és a Redis.

A támadás olyan Docker-kiszolgálók megcélzásával kezdődik, amelyeknek a portjai szabadon vannak, felderítést végeznek, és a hasznos terhek telepítése előtt kiterjesztik a jogosultságokat. A kártevő egy “vurl” nevű héjszkriptet használ további szkriptek és binárisok lekérdezésére, beleértve egy Base64-kódolt bináris állományt, amely felülírja a meglévő héjszkript verziót. Ennek a Go nyelven írt binárisnak az a célja, hogy távoli hozzáféréshez konfigurálja a gépet, és további eszközöket, például az XMRig bányászprogramot töltsön le. A kampány további hasznos terheléseket is alkalmaz, például “exeremo” az oldalirányú mozgáshoz és “fkoths” a rosszindulatú tevékenység nyomainak törléséhez, ami megnehezíti az elemzési és észlelési folyamatot. A kampány fejlődése a rosszul konfigurált Docker-állomások tartós fenyegetését mutatja.

(forrás)