Активна от месеци хакерска кампания атакува неправилно конфигурирани открити портове, използвани от апликационно-програмния интерфейс на Docker Daemon услугата, за да инсталират зловредна програма с името Kinsing, която на свой ред доставя в компрометираните контейнеризирани среди криптоминьор, предават специалисти по информационна сигурност от Aquasec.

Авторите на тези атаки използват тези портове, за да инсталират Ubuntu контейнери, които помещават споменатата зловредна програма. Попаднал в контейнера, „миньорът“ се опитва да се разпространи и извън него, засягайки, както други контейнери, така и хоста. Всички регистрирани досега атаки имат един общ начален вектор, като единствената разлика между тях са IP адресите, от които бива свалян първоначалният shell-скрипт за изпълнение на програмата. Засега тези адреси са три.

Споменатият скрипт има за цел да деактивира защитните мерки, поставени от управляващия контейнеризираната инстанция и да се изтрият записите за активността, да се премахнат евентуални налични „съперници“, като други зловредни програми или криптоминьори и свързаните с тях файлове, както и премахването на стартирани зловредни Docker контейнери. Освен това, с негова помощ се сваля и се стартира Kinsing, постига се устойчивост на присъствието му чрез crontab. Самата програма е написана на Golang и при старт се опитва да си комуникира с команден сървър, разположен в Източна Европа. Авторите на доклада откриват също така, че организаторите на кампанията са изградили сървъри за всяка една от функциите на програмата – за комуникация, друг за разпространение на скрипта и такъв за криптоминьора.

Програмата, с която хакерите добиват криптовалута чрез контейнеризираните инстанции се нарича kdevtmpfsi и копае биткойн. „Тази атака е още един пример за увеличаващите се опасности, свързани със стартираните в облака среди. С тяхното разрастване като брой и обем и увеличеното използване на контейнеризацията, престъпниците влагат все повече ресурси и усилия в атаките си, а самите атаки стават все по-сложни“, заключават от Aquasec.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
5 Коментара
стари
нови оценка
Отзиви
Всички коментари