Контейнерные и облачные ресурсы используются для развертывания инструментов. Honeypots Docker Engine были взломаны для выполнения двух различных образов Docker, направленных на веб-сайты в рамках атаки типа "отказ в обслуживании" (DoS).
Списки целей обоих образов Docker совпадают с доменами. Эти два образа были загружены более 150 000 раз, но разведка CrowdStrike не может оценить, сколько из этих загрузок произошло из взломанной инфраструктуры.
В период с 27 февраля по 1 марта 2022 года были обнаружены взломанные точки Docker Engine для выполнения двух различных образов Docker, нацеленных на российские и белорусские веб-сайты в рамках атаки типа "отказ в обслуживании" (DoS). Списки целей обоих образов Docker пересекаются с доменами, которые, как сообщается, используются поддерживаемой правительством Украины Украинской ИТ-армией (УИА). Ранее МАУ призывала своих членов проводить распределенные атаки типа "отказ в обслуживании" (DDoS) против российских целей. Может возникнуть риск ответных действий со стороны субъектов угроз, поддерживающих Российскую Федерацию, против организаций, используемых для непроизвольных разрушительных атак на правительственные, военные и гражданские веб-сайты.
Honeypots была скомпрометирована через открытый API движка Docker - метод, который обычно используется оппортунистическими кампаниями, такими как LemonDuck или WatchDog, для заражения неправильно сконфигурированных контейнеров.
Первый обнаруженный образ Docker под названием abagayev/stop-russia размещен на Docker Hub. Этот образ был загружен более 100 000 раз, но CrowdStrike Intelligence не может оценить, сколько из этих загрузок произошло из скомпрометированной инфраструктуры. Образ Docker содержит основанный на Go инструмент для бенчмаркинга HTTP под названием bombardier с хэшем SHA256
6d38fda9cf27fddd45111d80c237b86f87cf9d350c795363ee016bb030bb3453
который использует HTTP-запросы для стресс-тестирования веб-сайта. В данном случае этот инструмент был использован в качестве DoS-инструмента, который запускается автоматически при создании нового контейнера на основе образа Docker. При запуске процедура выбора цели выбирает случайную запись из жестко заданного списка целей. Более поздние версии этого образа Docker альтернативно выбирают одну из первых 24 записей в списке целей, основываясь на текущем часе.
Развернутый образ был обновлен один раз 1 марта 2022 года. Наиболее существенное различие между двумя версиями этого образа заключается в том, что список целей был расширен. В целевой список вошли российские веб-сайты из следующих секторов: правительство, военные, СМИ, финансы, энергетика, розничная торговля, горнодобывающая промышленность, производство, химикаты, производство, технологии, реклама, сельское хозяйство, транспорт и политические партии. Также 1 марта 2022 года в список целей были добавлены белорусские веб-сайты из следующих секторов: СМИ, розничная торговля, правительство и военные. CrowdStrike Intelligence оценивает деятельность по развертыванию этого образа Docker как весьма вероятную автоматизированную на основании тесно пересекающихся временных рамок взаимодействия с API Docker. Эта оценка сделана с умеренной уверенностью на основе трех отдельных инцидентов с аналогичными временными рамками.
Второй образ Docker называется erikmnkl/stoppropaganda. Этот образ был загружен с Docker Hub более 50 000 раз. Опять же, неизвестно, какая часть этих загрузок произошла со взломанных машин. Образ содержит пользовательскую DoS-программу на основе Go под названием stoppropaganda, которая имеет следующий хэш SHA256
3f954dd92c4d0bc682bd8f478eb04331f67cd750e8675fc8c417f962cc0fb31f
который отправляет HTTP GET-запросы на список целевых веб-сайтов, перегружая их запросами. Атака была направлена на российские и белорусские сайты в одних и тех же секторах: государственном, военном, энергетическом, горнодобывающем, розничной торговли, СМИ и финансов. Кроме того, жертвами атаки стали три литовских медиа-сайта.
Indicators of Compromise
SHA256
- af39263fe21815e776842c220e010433f48647f850288b5fe749db3d7783bcb0
- f190731012d3766c05ef8153309602dea29c93be596dcde506e3047e9ded5eae
- aacbb56f72616bbb82720cb897b6a07168a3a021dd524782ee759bbec3439fda
- 6d38fda9cf27fddd45111d80c237b86f87cf9d350c795363ee016bb030bb3453
- 3f954dd92c4d0bc682bd8f478eb04331f67cd750e8675fc8c417f962cc0fb31f
Snort Rule
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg: "Detects DoS HTTP request sent by erikmnkl/stoppropaganda tool"; flow:to_server, established; content:"Mozilla/5.0 (Windows NT 10.0|3B| Win64|3B| x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36"; http_header; content:"GET"; http_method; classtype:trojan-activity; metadata:service http; sid:8001951; rev:20220420;)