Исследователи из Cado Security Labs, входящей в состав Darktrace, обнаружили новую вредоносную кампанию, нацеленную на уязвимые службы Docker. В ходе атаки злоумышленники развертывают на скомпрометированных хостах два контейнера: с криптоджекером XMRig и приложением 9hits Viewer для генерации веб-трафика. Эта кампания демонстрирует эволюцию стратегий монетизации кибератак и сохраняющуюся уязвимость незащищенных Docker-хостов.
Описание
Обнаружение произошло в ходе планового мониторинга honeypot-инфраструктуры. Атака примечательна тем, что впервые в открытых источниках задокументировано использование платформы 9hits в качестве полезной нагрузки вредоносного программного обеспечения. 9hits позиционирует себя как «уникальное решение для веб-трафика». Платформа позволяет участникам покупать кредиты, которые можно обменять на трафик для их сайтов. Другой вариант - запуск приложения 9hits Viewer, которое использует headless-режим Chrome для посещения сайтов других участников в обмен на часть кредитов. Теперь это приложение развертывается вредоносным ПО для генерации кредитов в пользу злоумышленников.
Первоначальный доступ к хостам осуществляется через интернет с управляемого атакующими сервера. Исследователям не удалось получить копию спредера (распространителя), но вероятно, что атакующие обнаруживают цели через сервисы вроде Shodan. IP-адрес злоумышленников не фигурирует в базах данных злоупотреблений, что может указывать на отсутствие активного сканирования с него или использование отдельного сервера для разведки.
После обнаружения уязвимого хоста спредер использует Docker API для развертывания двух контейнеров. Сетевой трафик с honeypot показывает запросы на загрузку образов minerboy/XMRig и 9hitste/app с Docker Hub. Запросы исходят от IP-адреса из Фошаня (Китай), также ранее наблюдался адрес из хостинга Tencent в Японии. Анализ пользовательского агента и последовательности API-запросов указывает на использование стандартного Docker CLI, вероятно, через скрипт, который устанавливает переменную DOCKER_HOST.
Вместо создания специальных образов атакующие используют готовые решения из публичного репозитория, что является распространенной тактикой в кампаниях против Docker. В отличие от других атак, где злоумышленники пытаются выйти из контейнера на хост, в данном случае они остаются внутри и запускают контейнеры с предопределенными аргументами.
Полезная нагрузка активируется специальной командой, включающей параметры конфигурации и идентификаторы сессии. В контейнере 9hits запускается скрипт nh.sh с токеном сессии атакующего, что позволяет приложению аутентифицироваться на серверах 9hits и получать списки сайтов для посещения. Посещение сайтов приносит кредиты владельцу токена. Система токенов 9hits разработана для работы в недоверенных окружениях: токен можно использовать только для генерации кредитов, что защищает учетную запись злоумышленника от компрометации.
1 2 3 4 5 | pid ppid proc cmd 2379 2358 nh.sh /bin/bash /nh.sh --token=c89f8b41d4972209ec497349cce7e840 --system-session --allow-crypto=no 2406 2379 Xvfb Xvfb :1 2407 2379 9hits /etc/9hitsv3-linux64/9hits --mode=exchange --current-hash=1704770235 --hide-browser=no --token=c89f8b41d4972209ec497349cce7e840 --allow-popups=yes --allow-adult=yes --allow-crypto=no --system-session --cache-del=200 --single-process --no-sandbox --no-zygote --auto-start 2508 2455 9hbrowser /etc/9hitsv3-linux64/browser/9hbrowser --nh-param=b2e931191f49d --ssid=<honeypot IP> |
Приложение 9hits основано на Headless Chrome и запускает браузер с параметрами, типичными для работы в контейнерах или от имени root: отключение песочницы, однопроцессный режим и другие. Любопытно, что в этой кампании отключена возможность посещения криптовалютных сайтов, хотя причина неизвестна.
1 | /app/XMRig -o byw.dscloud.me:3333 --randomx-1gb-pages --donate-level=0 |
Второй контейнер запускает XMRig для майнинга Monero. В отличие от большинства настроек, где указывается публичный пул и кошелек, здесь используется приватный пул byw.dscloud.me, что затрудняет отслеживание статистики майнинга. Домен dscloud.me принадлежит Synology и используется для динамического DNS, при разрешении он указывает на тот же IP-адрес, с которого проводилась атака.
Основное воздействие кампании на зараженные хосты - исчерпание ресурсов: XMRig максимально загружает процессор, а 9hits потребляет значительную часть пропускной способности, памяти и оставшихся вычислительных мощностей. Это нарушает работу легитимных служб на серверах. Кроме того, существует риск обновления кампании для удаленного доступа к системе, что может привести к более серьезным последствиям. Подобное уже наблюдалось в деятельности румынской группировки mexals/diicot, которая добавляла на серверы вредоносные SSH-ключи для сохранения доступа.
Эта кампания подчеркивает, что злоумышленники постоянно ищут новые способы монетизации скомпрометированных хостов. Она также напоминает, что незащищенные Docker-хосты остаются распространенным вектором атак. Поскольку Docker позволяет выполнять произвольный код, критически важно обеспечивать его безопасность, чтобы избежать использования систем в злонамеренных целях.
Индикаторы компрометации
Docker container name/Docker container image
- faucet 9hitste/app
- xmg minerboy/XMRig
Mining pool
- byw.dscloud.me:3333
Session token
- c89f8b41d4972209ec497349cce7e840
