Главная страница » Индикаторы компрометации
0
2 месяца
Индикаторы компрометации

Криптоджекинг атакует DevOps-инструменты: как злоумышленники эксплуатируют уязвимости в Nomad, Consul, Docker и Gitea

security

Команда Wiz Threat Research обнаружила масштабную кампанию криптоджекинга, направленную на популярные DevOps-приложения, включая Nomad, Consul, Docker и Gitea. Злоумышленники, обозначенные как JINX-0132, используют известные уязвимости и ошибки конфигурации для развертывания майнеров криптовалют на уязвимых серверах.

Описание

Особенностью этой кампании стало первое задокументированное использование уязвимостей в Nomad в реальных атаках. Атакующие избегают традиционных индикаторов компрометации (IOC), загружая инструменты напрямую из публичных репозиториев GitHub и используя стандартные версии майнера XMRig. Это усложняет обнаружение их активности, несмотря на относительно простые методы эксплуатации.

Среди основных целей атаки - HashiCorp Nomad и Consul, Docker API и Gitea. В случае с Nomad злоумышленники используют уязвимости в API для создания задач, которые загружают и запускают майнер Monero. В Gitea атакующие могут получить контроль через уязвимости в системе git-хуков или через незаблокированную страницу установки. В Consul злоумышленники злоупотребляют функционалом health checks для выполнения произвольного кода, а в Docker API - используют открытые порты для развертывания вредоносных контейнеров.

По данным Wiz, 25% облачных сред используют хотя бы одну из этих технологий, причем 5% из них имеют публично доступные экземпляры, а 30% из них содержат опасные конфигурационные ошибки. В зоне риска оказываются даже крупные компании с мощными серверными ресурсами, что подчеркивает важность соблюдения базовых мер безопасности.

Для защиты эксперты рекомендуют:

  • Отключать публичный доступ к API Nomad и Consul, настраивать ACL и другие механизмы безопасности.
  • Обновлять Gitea до последних версий и блокировать установочную страницу.
  • Ограничивать доступ к Docker API, избегая его привязки к 0.0.0.0.
  • Использовать инструменты мониторинга, такие как Wiz, для выявления уязвимых конфигураций и подозрительной активности.

Эта кампания напоминает о том, что даже продвинутые DevOps-инструменты могут стать легкой добычей для злоумышленников, если их не настроить должным образом. Организациям стоит пересмотреть свои политики безопасности, чтобы избежать участия в подобных атаках.

Индикаторы компрометации

SHA1

  • ea7c97294f415dc8713ac8c280b3123da62f6e56

Monero wallet address

  • 468VEByGGFQSN2bJG99ovhe5SG9SLxLAA9e2s7tWFxvBM33FAEP4JbwYHEeXexq8djYpDEHg9Jq6eGF3rREnAAc4UkjLd3E
Комментарии: 0
Похожие записи
0
09.12.2024
Индикаторы компрометации

Взломанный пакет PyPI ultralytics поставляет криптовалютный коинмайнер

security
4 декабря была обнаружена вредоносная версия популярной библиотеки искусственного интеллекта ultralytics с кодом загрузчика, который устанавливал коинмайнер XMRig.
0
19.07.2024
Индикаторы компрометации

Распространение вредоносного ПО, замаскированного под программные крэки (нарушает установку V3 Lite)

security
Аналитический центр AhnLab Security (ASEC) предупреждает о распространении вредоносного ПО, притворяющегося кряк-программами, которое угрожает множеству систем по всему миру.
0
09.06.2025
Индикаторы компрометации

Librarian Ghouls: Новая волна атак на российские компании с использованием легального ПО

APT
APT-группа "Librarian Ghouls", также известная как "Rare Werewolf" и "Rezet", продолжает целенаправленно атаковать организации в России и странах СНГ. По данным исследователей, злоумышленники остаются
0
09.03.2023
Индикаторы компрометации

GlobeImposter Ransomware IOCs

security
ASEC (AhnLab Security Emergency response Center) недавно обнаружил активное распространение программы-вымогателя GlobeImposter. Эта атака осуществляется субъектами угроз, создавшими MedusaLocker.