ГоловнаНовини* Зловмисники використовують неправильно налаштовані Docker API для видобутку криптовалюти в хмарних середовищах.
Вони використовують мережу Tor, щоб приховати свою діяльність під час розгортання крипто-майнерів.
Зловмисники отримують доступ, створюють нові контейнери та монтують критичні системні директорії, наражаючи на ризик втечу контейнерів.
Атака полягає у встановленні інструментів та скриптів для налаштування віддаленого доступу, збору даних та встановлення майнера XMRig.
Нещодавні знахідки показують сотні витоків облікових даних у публічних кодових репозиторіях, що піддає компанії подальшому ризику.
Активна кампанія націлена на неправильно налаштовані екземпляри Docker, щоб таємно майнити криптовалюту, відповідно до висновків дослідників Trend Micro, опублікованих у червні 2025 року. Зловмисники, як повідомляється, використовують неправильно налаштовані API Docker, використовуючи мережу Tor для збереження анонімності, коли вони розгортають інструменти для майнінгу криптовалюти на вразливих контейнерах, що розміщуються в хмарі.
Реклама - Дослідники спостерігали, що атака зазвичай починається з запиту до Docker API для отримання списку контейнерів на хості. Якщо контейнерів немає, зловмисники створюють новий контейнер, використовуючи образ "alpine", і монтують кореневий каталог системи хоста як спільний обсяг. Цей крок може дозволити зловмисникам обійти ізоляцію контейнерів і отримати доступ до файлів на машині хоста, що підвищує ризик більшого компромісу системи.
Trend Micro заявляє, що після встановлення нового контейнера зловмисники запускають сценарій оболонки, закодований у кодуванні Base64, для встановлення Tor у контейнері. Потім вони завантажують і виконують віддалений сценарій, розміщений на адресі .onion, використовуючи інструменти та налаштування, такі як «socks5h», для маршрутизації всього трафіку через Tor. За словами дослідників, «Це відображає поширену тактику, яку використовують зловмисники, щоб приховати командно-адміністративну інфраструктуру (C&C), уникнути виявлення та доставити шкідливе програмне забезпечення або майнерів у скомпрометованих хмарних або контейнерних середовищах»*, додавши, що цей метод ускладнює зусилля з відстеження походження атаки.
Після налаштування середовища зловмисники розгортають сценарій оболонки під назвою «docker-init.sh». Цей скрипт перевіряє, чи змонтовано каталог "/hostroot", змінює конфігурації SSH для активації root-входу та додає SSH-ключ зловмисника для подальшого доступу. Встановлюються додаткові інструменти, такі як masscan і torsocks, що дозволяють зловмисникам сканувати мережі і надалі ухилятися від виявлення. Атака завершується встановленням майнера криптовалюти XMRig, налаштованого за допомогою адрес гаманців і майнінгових пулів, контрольованих зловмисниками.
Trend Micro зазначає, що ця діяльність в першу чергу спрямована на сектори технологій, фінансів та охорони здоров'я. Компанія також наголошує на пов'язаному ризику безпеки після того, як Wiz виявив, що сотні конфіденційних облікових даних з'явилися в загальнодоступних репозиторіях, включаючи файли в блокнотах Python і файлах конфігурації додатків, з постраждалими організаціями, починаючи від стартапів і закінчуючи компаніями зі списку Fortune 100. Дослідники попереджають, що результати виконання коду в спільних блокнотах Python можуть розкрити цінну інформацію зловмисникам, здатним пов'язати її зі своїми джерелами.
Тенденція підкреслює важливість забезпечення безпеки хмарних та контейнерних середовищ, особливо коли зловмисники продовжують автоматизувати експлойти та шукати відкриті облікові дані в публічних кодових репозиторіях.
Попередні статті:
Mastercard приєднується до мережі Paxos Global Dollar, щоб підвищити стабільні монети
Крипто-ринок піднімається, оскільки Трамп домовляється про припинення вогню між Іраном та Ізраїлем
Федеральна резервна система виключила ‘репутаційний ризик’ з банківського нагляду
Офіційні особи Форт-Майерса посилюють боротьбу з зростаючими шахрайствами з крипто-АТМ щодо пенсіонерів
ETH стрибає на 8% після оголошення Трампа про перемир'я між Ізраїлем та Іраном
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Зловмисники зловживають Docker API та Tor для запуску хмарного криптозахоплення
ГоловнаНовини* Зловмисники використовують неправильно налаштовані Docker API для видобутку криптовалюти в хмарних середовищах.
Trend Micro заявляє, що після встановлення нового контейнера зловмисники запускають сценарій оболонки, закодований у кодуванні Base64, для встановлення Tor у контейнері. Потім вони завантажують і виконують віддалений сценарій, розміщений на адресі .onion, використовуючи інструменти та налаштування, такі як «socks5h», для маршрутизації всього трафіку через Tor. За словами дослідників, «Це відображає поширену тактику, яку використовують зловмисники, щоб приховати командно-адміністративну інфраструктуру (C&C), уникнути виявлення та доставити шкідливе програмне забезпечення або майнерів у скомпрометованих хмарних або контейнерних середовищах»*, додавши, що цей метод ускладнює зусилля з відстеження походження атаки.
Після налаштування середовища зловмисники розгортають сценарій оболонки під назвою «docker-init.sh». Цей скрипт перевіряє, чи змонтовано каталог "/hostroot", змінює конфігурації SSH для активації root-входу та додає SSH-ключ зловмисника для подальшого доступу. Встановлюються додаткові інструменти, такі як masscan і torsocks, що дозволяють зловмисникам сканувати мережі і надалі ухилятися від виявлення. Атака завершується встановленням майнера криптовалюти XMRig, налаштованого за допомогою адрес гаманців і майнінгових пулів, контрольованих зловмисниками.
Trend Micro зазначає, що ця діяльність в першу чергу спрямована на сектори технологій, фінансів та охорони здоров'я. Компанія також наголошує на пов'язаному ризику безпеки після того, як Wiz виявив, що сотні конфіденційних облікових даних з'явилися в загальнодоступних репозиторіях, включаючи файли в блокнотах Python і файлах конфігурації додатків, з постраждалими організаціями, починаючи від стартапів і закінчуючи компаніями зі списку Fortune 100. Дослідники попереджають, що результати виконання коду в спільних блокнотах Python можуть розкрити цінну інформацію зловмисникам, здатним пов'язати її зі своїми джерелами.
Тенденція підкреслює важливість забезпечення безпеки хмарних та контейнерних середовищ, особливо коли зловмисники продовжують автоматизувати експлойти та шукати відкриті облікові дані в публічних кодових репозиторіях.
Попередні статті: