Поделиться этой статьей
Криптовалюта с повышенной конфиденциальностью Dero стала объектом новой самораспространяющейся вредоносной программы.
Вредоносное ПО распространялось подобно червю и создавалось с помощью вредоносных контейнеров после заражения новых устройств.
Что нужно знать:
- Новая кампания вредоносного ПО для Linux нацелена на незащищённую инфраструктуру Docker с целью создания сети криптомайнинга Dero.
- Атака использует открытые Docker API на порту 2375, используя вредоносные контейнеры для майнинга криптовалюты и распространения без центрального сервера.
- Компания Kaspersky сообщает, что вредоносное ПО использует импланты на базе Golang и шифрует данные для избежания обнаружения, что указывает на эволюцию предыдущих операций криптомайнинга.
Недавно обнаруженная кампания вредоносного ПО Linux компрометирует незащищённую инфраструктуру Docker по всему миру, превращая открытые серверы в часть децентрализованной сети криптомайнинга, которая добывает приватную монету Dero {{DERO}}.
Согласно отчёту компании по кибербезопасности Kaspersky, атака начинается с эксплуатации публично открытых Docker API по порту 2375. После получения доступа вредоносное ПО создает вредоносные контейнеры. Оно заражает уже работающие контейнеры, присваивая системные ресурсы для майнинга Dero и поиска дополнительных целей без необходимости в центральном сервере управления.
В терминах программного обеспечения docker — это набор приложений или инструментов платформы, использующих виртуализацию на уровне ОС для доставки программного обеспечения в маленьких пакетах, называемых контейнерами.
Атакующая сторона использовала два импланта, написанных на Golang: один под названием «nginx» (умышленная попытка замаскироваться под легитимное веб-серверное ПО), и другой под названием «cloud», который является фактическим майнинговым ПО, используемым для генерации Dero.
После компрометации хоста модуль nginx непрерывно сканировал интернет в поисках новых уязвимых Docker-узлов, используя инструменты вроде Masscan для выявления целей и развертывания новых заражённых контейнеров.
«Вся кампания ведёт себя подобно вспышке зомби-контейнеров», — написали исследователи. «Один заражённый узел автономно создает новых зомби для майнинга Dero и дальнейшего распространения. Внешнее управление не требуется — только больше неправильно сконфигурированных Docker-точек.»
Чтобы избежать обнаружения, оно шифрует конфигурационные данные, включая адреса кошельков и конечные точки узлов Dero, а также скрывается в путях, обычно используемых легитимным системным ПО.
Kaspersky обнаружила тот же кошелек и инфраструктуру узлов, которые использовались в более ранних кампаниях криптомайнинга, нацеленных на кластеры Kubernetes в 2023 и 2024 годах, что указывает на эволюцию известной операции, а не на совершенно новую угрозу.
В данном случае, однако, использование логики самораспространяющегося червя и отсутствие центрального сервера управления делают угрозу особенно устойчивой и сложной для нейтрализации.
По состоянию на начало мая, более 520 Docker API были публично открыты по порту 2375 по всему миру — каждая из них является потенциальной целью.
More For You
Кевин Уорш был приведён к присяге в качестве председателя Федеральной резервной системы на церемонии в Белом доме в начале пятничного дня.
