Злоумышленники начали массово использовать неправильно настроенные Docker API для установки криптомайнеров в корпоративные облачные среды.
При этом весь трафик проходит через сеть Tor, что значительно усложняет отслеживание их действий. Об этом сообщили аналитики Trend Micro, изучившие новую волну атак.
Сценарий всегда начинается с запроса от IP-адреса 198.199.72[.]27 — он используется для получения списка контейнеров на целевой машине. Если контейнеров нет, создается новый на базе образа Alpine с монтированием корневой директории хоста. Это дает хакерам прямой доступ к файловой системе машины и позволяет выйти за пределы контейнера.
Как уточняется в отчете Trend Micro, в момент создания контейнера через Base64-шифрованный скрипт устанавливается Tor-клиент. Вся последующая активность — загрузка вредоносного кода, подключение к C&C-серверу и установка SSH-доступа — маскируется внутри Tor-сети. В систему внедряется скрипт docker-init.sh, который модифицирует SSH-конфигурацию хоста и внедряет ключи для удалённого доступа.
Для дальнейшей активности используются инструменты masscan, torsocks, zstd и другие. После сбора данных о системе загружается XMRig — популярный майнер Monero, а вместе с ним передаётся и вся конфигурация: адрес кошелька, настройки пула и параметры добычи. По данным Trend Micro, цель атак — технологические компании, финтех и здравоохранение.
Этот инцидент стал очередным подтверждением растущей волны атак на облачные сервисы и плохо защищенные контейнерные среды. Тем временем другая компания, Wiz, сообщила о сотнях утечек секретных ключей и паролей из открытых репозиториев. Всё чаще именно ошибки в конфигурации становятся точкой входа для киберпреступников — особенно в условиях, когда код хранится без должной защиты.
При этом весь трафик проходит через сеть Tor, что значительно усложняет отслеживание их действий. Об этом сообщили аналитики Trend Micro, изучившие новую волну атак.
Сценарий всегда начинается с запроса от IP-адреса 198.199.72[.]27 — он используется для получения списка контейнеров на целевой машине. Если контейнеров нет, создается новый на базе образа Alpine с монтированием корневой директории хоста. Это дает хакерам прямой доступ к файловой системе машины и позволяет выйти за пределы контейнера.
Как уточняется в отчете Trend Micro, в момент создания контейнера через Base64-шифрованный скрипт устанавливается Tor-клиент. Вся последующая активность — загрузка вредоносного кода, подключение к C&C-серверу и установка SSH-доступа — маскируется внутри Tor-сети. В систему внедряется скрипт docker-init.sh, который модифицирует SSH-конфигурацию хоста и внедряет ключи для удалённого доступа.
Для дальнейшей активности используются инструменты masscan, torsocks, zstd и другие. После сбора данных о системе загружается XMRig — популярный майнер Monero, а вместе с ним передаётся и вся конфигурация: адрес кошелька, настройки пула и параметры добычи. По данным Trend Micro, цель атак — технологические компании, финтех и здравоохранение.
Этот инцидент стал очередным подтверждением растущей волны атак на облачные сервисы и плохо защищенные контейнерные среды. Тем временем другая компания, Wiz, сообщила о сотнях утечек секретных ключей и паролей из открытых репозиториев. Всё чаще именно ошибки в конфигурации становятся точкой входа для киберпреступников — особенно в условиях, когда код хранится без должной защиты.
