Открытые конечные точки Docker API через Интернет подвергаются атаке со стороны сложной кампании криптоджекинга под названием Commando Cat.
"Кампания использует безопасный контейнер, созданный с помощью проекта Commando", - сказали исследователи безопасности Cado Нейт Билл и Мэтт Мьюир в новом отчете, опубликованном сегодня. "Злоумышленник выходит из этого контейнера и запускает несколько полезных нагрузок на хосте Docker".
Считается, что кампания была активна с начала 2024 года, что делает ее второй подобной кампанией, обнаруженной за столько месяцев. В середине января компания по облачной безопасности также пролила свет на другой кластер активности, который нацелен на уязвимые хосты Docker для развертывания криптовалютного майнера XMRig, а также программного обеспечения 9Hits Viewer.
Commando Cat использует Docker в качестве начального вектора доступа для доставки набора взаимозависимых полезных нагрузок с сервера, контролируемого участниками, который отвечает за регистрацию сохраняемости, резервное копирование хоста, эксфильтрацию учетных данных поставщика облачных услуг (CSP) и запуск майнера.
Плацдарм, полученный путем взлома уязвимых экземпляров Docker, впоследствии используется для развертывания безопасного контейнера с помощью инструмента Commando с открытым исходным кодом и выполнения вредоносной команды, которая позволяет ему покинуть пределы контейнера с помощью команды chroot.
Он также выполняет серию проверок, чтобы определить, активны ли службы с именами "sys-kernel-debugger", "gsc", "c3pool_miner" и "dockercache" в скомпрометированной системе, и переходит к следующему этапу, только если этот этап пройден.
"Цель проверки sys-kernel-debugger неясна – этот сервис нигде не используется вредоносным ПО и не является частью Linux", - заявили исследователи. "Возможно, что сервис является частью другой кампании, с которой злоумышленник не хочет конкурировать".
Следующий этап влечет за собой удаление дополнительных полезных данных с сервера командования и управления (C2), включая бэкдор сценария оболочки (user.sh), которые способны добавлять SSH-ключ в файл ~ /.ssh / authorized_keys и создавать пользователя-мошенника по имени "games" с паролем, известным злоумышленнику, и включать его в файл /etc / sudoers.
Аналогичным образом поставляются еще три сценария оболочки – tshd.sh, gsc.sh, aws.sh – которые предназначены для удаления Tiny SHell и импровизированной версии netcat, называемой gs-netcat, и удаления учетных данных
Участники угрозы "запускают команду на cmd.cat/chattr контейнер, который извлекает полезную нагрузку из их собственной инфраструктуры C2", - сказал Мьюир The Hacker News, отметив, что это достигается с помощью curl или wget и передачи полученной полезной нагрузки непосредственно в командную оболочку bash.
"Вместо использования / tmp [gsc.sh] также использует / dev / shm вместо этого, который действует как временное хранилище файлов, но вместо этого поддерживается память", - сказали исследователи. "Возможно, что это механизм уклонения, поскольку вредоносное ПО гораздо чаще использует / tmp".
"Кампания использует безопасный контейнер, созданный с помощью проекта Commando", - сказали исследователи безопасности Cado Нейт Билл и Мэтт Мьюир в новом отчете, опубликованном сегодня. "Злоумышленник выходит из этого контейнера и запускает несколько полезных нагрузок на хосте Docker".
Считается, что кампания была активна с начала 2024 года, что делает ее второй подобной кампанией, обнаруженной за столько месяцев. В середине января компания по облачной безопасности также пролила свет на другой кластер активности, который нацелен на уязвимые хосты Docker для развертывания криптовалютного майнера XMRig, а также программного обеспечения 9Hits Viewer.
Commando Cat использует Docker в качестве начального вектора доступа для доставки набора взаимозависимых полезных нагрузок с сервера, контролируемого участниками, который отвечает за регистрацию сохраняемости, резервное копирование хоста, эксфильтрацию учетных данных поставщика облачных услуг (CSP) и запуск майнера.
Плацдарм, полученный путем взлома уязвимых экземпляров Docker, впоследствии используется для развертывания безопасного контейнера с помощью инструмента Commando с открытым исходным кодом и выполнения вредоносной команды, которая позволяет ему покинуть пределы контейнера с помощью команды chroot.
Он также выполняет серию проверок, чтобы определить, активны ли службы с именами "sys-kernel-debugger", "gsc", "c3pool_miner" и "dockercache" в скомпрометированной системе, и переходит к следующему этапу, только если этот этап пройден.
"Цель проверки sys-kernel-debugger неясна – этот сервис нигде не используется вредоносным ПО и не является частью Linux", - заявили исследователи. "Возможно, что сервис является частью другой кампании, с которой злоумышленник не хочет конкурировать".
Следующий этап влечет за собой удаление дополнительных полезных данных с сервера командования и управления (C2), включая бэкдор сценария оболочки (user.sh), которые способны добавлять SSH-ключ в файл ~ /.ssh / authorized_keys и создавать пользователя-мошенника по имени "games" с паролем, известным злоумышленнику, и включать его в файл /etc / sudoers.
![Кампания по криптоджекингу Кампания по криптоджекингу](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiFvGoabtoaMsN-gYV3kPUfSXEgtCXQzigmDmX2m177ZcQmhYNMARCCVPr8LZGJZhCIqJ337SA_tSZX9BAwT122-BK32xCylPASvcIxNY6ZqM1StjUvNQGvvz3O4_-uS3mvyV3-rUQ81ptAdo_49gZ3Irp-3dT1o_4zOJZFTAUzczJXehPU-28ztXn5g_ze/s728-rw-ft-e30/code.jpg)
Аналогичным образом поставляются еще три сценария оболочки – tshd.sh, gsc.sh, aws.sh – которые предназначены для удаления Tiny SHell и импровизированной версии netcat, называемой gs-netcat, и удаления учетных данных
Участники угрозы "запускают команду на cmd.cat/chattr контейнер, который извлекает полезную нагрузку из их собственной инфраструктуры C2", - сказал Мьюир The Hacker News, отметив, что это достигается с помощью curl или wget и передачи полученной полезной нагрузки непосредственно в командную оболочку bash.
"Вместо использования / tmp [gsc.sh] также использует / dev / shm вместо этого, который действует как временное хранилище файлов, но вместо этого поддерживается память", - сказали исследователи. "Возможно, что это механизм уклонения, поскольку вредоносное ПО гораздо чаще использует / tmp".