Исследователи кибербезопасности из Cado Security недавно обнаружили новую продвинутую кампанию криптоджекинга, нацеленную на открытые конечные точки Docker API в Интернете.
Кампания под названием «Кот-коммандос» активна с начала 2024 года, добавили исследователи, заявив, что это вторая кампания такого рода, обнаруженная всего за два месяца.
Согласно отчетЗлоумышленники будут доставлять взаимозависимую полезную нагрузку со своего собственного сервера, используя Docker в качестве первого вектора доступа. Первый контейнер, созданный с помощью инструмента с открытым исходным кодом Commando, на первый взгляд безвреден, но позволяет злоумышленникам выйти из контейнера и выполнить несколько полезных нагрузок на самом хосте Docker.
подражатель
Развертываемые полезные нагрузки зависят от краткосрочных целей кампании и включают в себя обеспечение устойчивости, бэкдор хоста, кражу учетных данных поставщика облачных услуг и запуск майнеров криптовалюты, пояснили исследователи. Майнер криптовалюты, используемый в этой кампании, — это печально известный XMRig, чрезвычайно популярный криптоджекер, который добывает Monero (XMR), валюту, ориентированную на конфиденциальность, которую практически невозможно отследить.
Исследователи из Cado Security добавили, что Commando Cat использует другую папку для временного хранения украденных файлов, подозревая, что это было сделано в качестве обходного пути. На самом деле, по их словам, это затрудняет судебно-медицинскую экспертизу.
На момент публикации исследователи не знают, кто являются участниками угроз, стоящих за Commando Cat, но говорят, что они обнаружили совпадения в сценариях оболочки и IP-адресах C2 с другой группой криптоджекинга под названием TeamTNT. Тем не менее, Кадо не верит, что за этой конкретной кампанией стоит TeamTNT, и больше склоняется к группе подражателей.
Чтобы защититься от таких атак, пользователям рекомендуется обновить свои экземпляры Docker и принять необходимые меры безопасности, заключают исследователи.
Ранее в этом месяце та же команда по кибербезопасности обнаружила аналогичную кампанию, нацеленную на уязвимые хосты Docker с целью развертывания как XMRig, так и программного обеспечения 9Hits Viewer. 9hits — это платформа обмена веб-трафиком, где пользователи могут увеличивать трафик между собой. Когда пользователь устанавливает 9hits, его устройство посещает веб-сайты других участников через автономный экземпляр Chrome. Взамен пользователь получает кредиты, которые затем может потратить на увеличение посещаемости своих веб-сайтов. Устанавливая 9hits на скомпрометированные экземпляры Docker, злоумышленники генерируют дополнительные кредиты, которые затем могут обменять на дополнительный трафик для себя.
Больше от TechRadar Pro
