Исследователи из Datadog обнаружили кампанию криптоджекинга, затрагивающую API Docker Engine и способную распространиться на Docker Swarm, Kubernetes и SSH-серверы.
Злоумышленники объединяют скомпрометированные узлы в подконтрольный им кластер Docker Swarm, используя функции оркестровки Docker для управления и контроля (C2). В кампании также задействованы вредоносные образы, размещенные на Docker Hub, причем есть основания полагать, что атаке подверглись кодовые пространства GitHub.
Атака начинается с использования открытых конечных точек API Docker для развертывания криптовалютного майнера и дополнительных вредоносных полезных нагрузок, которые способствуют латеральному перемещению в другие среды Docker, Kubernetes или SSH. Ключевая тактика включает в себя использование API kubelet в Kubernetes для развертывания дальнейшего вредоносного ПО, а также использование masscan и zgrab для выявления уязвимых узлов в локальных сетях. Вредоносная программа использует различные методы обхода защиты, включая отключение брандмауэров и очистку журналов, а также широко применяет динамический перехват компоновщика для скрытия своих процессов.
Злоумышленники используют пользовательские скрипты для латерального перемещения на серверы Kubernetes, Docker и SSH. Эти скрипты сканируют открытые порты и разворачивают дополнительные контейнеры, в которых исполняется основное вредоносное ПО, инициируя дальнейшую компрометацию. Цели SSH выявляются путем поиска закрытых ключей и учетных данных в истории оболочки, что позволяет вредоносному ПО распространяться по скомпрометированным узлам путем удаленного выполнения команд.
На сервере C2 размещено множество дополнительных образцов вредоносного ПО, что свидетельствует о постоянном развитии и совершенствовании кампании. Некоторые тактики, использованные в этой кампании, перекликаются с тактиками известной угрожающей группы TeamTNT, которая специализируется на атаках на облачные микросервисные технологии. Однако из-за ограниченности доказательств, связывающих эту кампанию непосредственно с TeamTNT, авторство остается неопределенным.
Indicators of Compromise
IPv4
- 164.68.106.96
Domains
- solscan.live
- x.solscan.live
URLs
- http://192.155.94.199/sh/xmr.sh.sh
- http://45.9.148.35/aws
- https://solscan.live/aws.sh
- https://solscan.live/bin/64bit/xmrig
- https://solscan.live/bin/pnscan_1.12+git20180612.orig.tar.gz
- https://solscan.live/bin/xmr/x86_64
- https://solscan.live/bin/xmrig
- https://solscan.live/data/docker.container.local.spread.txt
- https://solscan.live/input/kube_in.php?target=<IP
- https://solscan.live/scan_threads.dat
- https://solscan.live/sh/init.sh
- https://solscan.live/sh/kube.lateral.sh
- https://solscan.live/sh/search.sh
- https://solscan.live/sh/setup_xmr.sh
- https://solscan.live/sh/spread_docker_local.sh
- https://solscan.live/sh/spread_kube_loop.sh
- https://solscan.live/sh/spread_ssh.sh
- https://solscan.live/sh/xmr.sh.sh
- https://solscan.live/so/xmrig.so
- https://solscan.live/up/kube_in.php?target=<IP Address>
- https://solscan.live/upload.php
SHA256
- 0af1b8cd042b6e2972c8ef43d98c0a0642047ec89493d315909629bcf185dffd
- 2514e5233c512803eff99d4e16821ecc3b80cd5983e743fb25aa1bcc17c77c79
- 505237e566b9e8f4a83edbe45986bbe0e893c1ca4c5837c97c6c4700cfa0930a
- 6157a74926cfd66b959d036b1725a63c704b76af33f59591c15fbf85917f76fa
- 6f426065e502e40da89bbc8295e9ca039f28b50e531b33293cee1928fd971936
- 700635abe402248ccf3ca339195b53701d989adb6e34c014b92909a2a1d5a0ff
- 78ebc26741fc6bba0781c6743c0a3d3d296613cc8a2bce56ef46d9bf603c7264
- 9d02707b895728b4229abd863aa6967d67cd8ce302b30dbcd946959e719842ad
- c5391314ce789ff28195858a126c8a10a4f9216e8bd1a8ef71d11c85c4f5175c
- d99bd3a62188213894684d8f9b4f39dbf1453cc7707bac7f7b8f484d113534b0
- e4c4400a4317a193f49c0c53888ec2f27e20b276c2e6ee1a5fd6eacf3f2a0214
- e6985878b938bd1fba3e9ddf097ba1419ff6d77c3026abdd621504f5c4186441
