В последние дни обнаружена новая атака, в которой злоумышленники используют уязвимости в удаленном API Docker в сочетании с сетью Tor для скрытого майнинга криптовалюты на зараженных системах. Этот метод позволяет атакующим оставаться незамеченными, маскируя свою активность через анонимную сеть.
Описание
Атака начинается с эксплуатации неправильно настроенных Docker Remote API, которые позволяют злоумышленникам получать контроль над контейнерами. В данном случае атакующие использовали образ Alpine Linux для создания нового контейнера, монтировав корневую файловую систему хоста с правами на запись. Это дает им возможность изменять системные файлы и устанавливать бэкдоры.
Особенностью этой атаки является использование Tor для скрытия командного центра (C2). После получения доступа к системе злоумышленники загружают скрипт через скрытый сервис в сети Tor (.onion), который затем модифицирует SSH-конфигурацию, добавляя авторизованный ключ для постоянного доступа. Кроме того, устанавливаются дополнительные инструменты, такие как masscan для сканирования сети, torsocks для маршрутизации трафика через Tor и zstd для эффективного сжатия данных.
Основная нагрузка - это XMRig, популярный майнер криптовалюты Monero. Однако в отличие от стандартных атак, здесь майнер встроен в бинарный файл-дроппер, что позволяет избежать загрузки дополнительных компонентов и снижает вероятность обнаружения. Майнер запускается с предустановленными параметрами, включая адреса кошельков и пулы для добычи.
Эта атака особенно опасна для компаний, использующих облачные технологии, включая IT-сектор, финансовые учреждения и здравоохранение. Атакующие активно ищут уязвимые Docker-системы, чтобы развернуть свои скрытые майнеры.
Для защиты эксперты рекомендуют:
- Ограничить доступ к Docker Remote API, разрешая подключения только с доверенных IP-адресов.
- Регулярно обновлять Docker и его компоненты, чтобы закрыть известные уязвимости.
- Мониторить подозрительную активность, такую как неожиданное создание контейнеров или использование Tor в корпоративной сети.
- Использовать системы обнаружения вторжений (IDS) и защитные решения, способные выявлять аномалии в работе контейнеров.
Данная атака демонстрирует, как злоумышленники адаптируются, используя современные технологии для обхода защиты. Комбинация Docker и Tor делает такие атаки сложными для обнаружения, поэтому компаниям необходимо усилить меры безопасности, особенно в облачных средах.
Индикаторы компрометации
IPv4
- 198.199.72.27
Domain Port Combinations
- gulf.moneroocean.stream:10128
URLs
- http://2hdv5kven4m422wx4dmqabotumkeisrstzkzaotvuhwx3aebdig573qd.onion:9000/binary/system-linux-$(uname -m).zst
- http://wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad.onion/bot/add
- http://wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad.onion/static/docker-init.sh
SHA256
- 04b307515dd8179f9c9855aa6803b333adb3e3475a0ecc688b698957f9f750ad
- 1bb95a02f1c12c142e4e34014412608668c56502f28520c07cad979fa8ea6455
- b9b8a041ff1d71aaea1c9d353cc79f6d59ec03c781f34d731c3f00b85dc7ecd8
- f185d41df90878555a0328c19b86e7e9663497384d6b3aae80cb93dbbd591740
