HomeNews* Злоумышленники используют некорректно настроенные Docker API для майнинга криптовалюты в облачных средах.
Они используют сеть Tor, чтобы скрыть свою деятельность при развертывании криптомайнеров.
Злоумышленники получают доступ, создают новые контейнеры и монтируют критически важные системные директории, что ставит под угрозу безопасность контейнеров.
Атака включает установку инструментов и скриптов для настройки удаленного доступа, сбора данных и установки майнера XMRig.
Недавние данные показывают, что в публичных репозиториях кода утекли сотни учетных данных, что подвергает компании дополнительному риску.
По данным исследователей Trend Micro, опубликованным в июне 2025 года, активная кампания нацелена на неправильно настроенные экземпляры Docker, чтобы тайно добывать криптовалюту. Сообщается, что злоумышленники используют неправильно настроенные API Docker, используя сеть Tor для анонимности, когда они разворачивают инструменты для майнинга криптовалюты на уязвимых контейнерах, размещённых в облаке.
Реклама — исследователи заметили, что атака обычно начинается с запроса к Docker API для получения списка контейнеров на хосте. Если контейнеров не существует, злоумышленники создают новый контейнер с помощью образа «alpine» и монтируют корневой каталог хост-системы в качестве общего тома. Этот шаг может позволить злоумышленникам обойти изоляцию контейнера и получить доступ к файлам на хост-машине, что повышает риск более широкой компрометации системы.
Trend Micro заявляет, что после создания нового контейнера злоумышленники запускают скрипт оболочки в кодировке Base64 для установки Tor в контейнер. Затем они загружают и выполняют удаленный скрипт, размещенный на адресе .onion, используя инструменты и настройки, такие как «socks5h», для маршрутизации всего трафика через Tor. По словам исследователей, «это отражает распространенную тактику, используемую злоумышленниками для сокрытия командно-контрольной (C C) инфраструктуры, избегания обнаружения и доставки вредоносного ПО или майнеров в скомпрометированные облачные или контейнерные среды», добавив, что этот метод усложняет усилия по отслеживанию происхождения атаки.
После настройки среды злоумышленники развертывают сценарий оболочки с именем «docker-init.sh». Этот скрипт проверяет, подключен ли каталог "/hostroot", изменяет конфигурации SSH, чтобы разрешить вход в систему с правами root, и добавляет ключ SSH злоумышленника для доступа в будущем. Устанавливаются дополнительные инструменты, такие как masscan и torsocks, что позволяет злоумышленникам сканировать сети и в дальнейшем уклоняться от обнаружения. Кульминацией атаки является установка майнера криптовалюты XMRig, настроенного на адреса кошельков и майнинговые пулы, контролируемые злоумышленниками.
Trend Micro отмечает, что эта деятельность в первую очередь нацелена на секторы технологий, финансов и здравоохранения. Компания также подчеркивает связанный с этим риск безопасности после того, как компания обнаружила, что сотни конфиденциальных учетных данных всплыли в общедоступных репозиториях, включая файлы в блокнотах Python и файлы конфигурации приложений, в затронутых организациях, начиная от стартапов и заканчивая компаниями из списка Fortune 100. Исследователи предупреждают, что результаты выполнения кода в общих блокнотах Python могут раскрыть ценную информацию для злоумышленников, способных связать ее со своими источниками.
Тенденция подчеркивает важность обеспечения безопасности облачных и контейнерных сред, особенно поскольку злоумышленники продолжают автоматизировать эксплойты и искать раскрытые учетные данные в публичных репозиториях кода.
Предыдущие статьи:
Mastercard присоединяется к глобальной долларовой сети Paxos для повышения стабильных монет
Крипторынки растут, так как Трамп посредничает в прекращении огня между Ираном и Израилем
Федеральная резервная система исключила «репутационные риски» в банковском надзоре
Власти Форт-Майерса принимают меры против растущих мошенничеств с крипто-банкоматами, нацеленных на пожилых людей
ETH подскочил на 8% после объявления Трампа о прекращении огня между Израилем и Ираном
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Злоумышленники злоупотребляют API Docker и Tor для запуска облачного Криптоудержания
HomeNews* Злоумышленники используют некорректно настроенные Docker API для майнинга криптовалюты в облачных средах.
Trend Micro заявляет, что после создания нового контейнера злоумышленники запускают скрипт оболочки в кодировке Base64 для установки Tor в контейнер. Затем они загружают и выполняют удаленный скрипт, размещенный на адресе .onion, используя инструменты и настройки, такие как «socks5h», для маршрутизации всего трафика через Tor. По словам исследователей, «это отражает распространенную тактику, используемую злоумышленниками для сокрытия командно-контрольной (C C) инфраструктуры, избегания обнаружения и доставки вредоносного ПО или майнеров в скомпрометированные облачные или контейнерные среды», добавив, что этот метод усложняет усилия по отслеживанию происхождения атаки.
После настройки среды злоумышленники развертывают сценарий оболочки с именем «docker-init.sh». Этот скрипт проверяет, подключен ли каталог "/hostroot", изменяет конфигурации SSH, чтобы разрешить вход в систему с правами root, и добавляет ключ SSH злоумышленника для доступа в будущем. Устанавливаются дополнительные инструменты, такие как masscan и torsocks, что позволяет злоумышленникам сканировать сети и в дальнейшем уклоняться от обнаружения. Кульминацией атаки является установка майнера криптовалюты XMRig, настроенного на адреса кошельков и майнинговые пулы, контролируемые злоумышленниками.
Trend Micro отмечает, что эта деятельность в первую очередь нацелена на секторы технологий, финансов и здравоохранения. Компания также подчеркивает связанный с этим риск безопасности после того, как компания обнаружила, что сотни конфиденциальных учетных данных всплыли в общедоступных репозиториях, включая файлы в блокнотах Python и файлы конфигурации приложений, в затронутых организациях, начиная от стартапов и заканчивая компаниями из списка Fortune 100. Исследователи предупреждают, что результаты выполнения кода в общих блокнотах Python могут раскрыть ценную информацию для злоумышленников, способных связать ее со своими источниками.
Тенденция подчеркивает важность обеспечения безопасности облачных и контейнерных сред, особенно поскольку злоумышленники продолжают автоматизировать эксплойты и искать раскрытые учетные данные в публичных репозиториях кода.
Предыдущие статьи: