Spinning YARN 2.0: майнеры нашли новую лазейку в Docker

Простой способ обойти блокировки – купи VPN через Телеграмм-бот:

Злоумышленники переписывают свои инструменты для противодействия анализу.

Исследователи выявили новую кампанию вредоносного ПО, нацеленную на публичные API Docker для доставки криптовалютных майнеров и других вредоносных программ.

В числе используемых инструментов обнаружен инструмент удалённого доступа, способный загружать и исполнять дополнительные вредоносные программы, а также утилита для распространения вредоносного ПО через SSH, сообщают эксперты Datadog в своём недавнем отчёте.

Анализ кампании выявил тактические сходства с предыдущей активностью, известной как Spinning YARN, которая была выявлена компанией Cado Security и нацелена на некорректно настроенные сервисы Apache Hadoop YARN, Docker, Atlassian Confluence и Redis для криптоджекинга.

Атака начинается с поиска серверов Docker с открытыми портами (номер порта 2375) и включает несколько этапов: разведку, повышение привилегий и эксплуатацию уязвимостей.

Полезные нагрузки загружаются с помощью скрипта «vurl» из инфраструктуры, контролируемой злоумышленниками. Этот скрипт включает в себя другой скрипт «b.sh», который содержит закодированный бинарный файл «vurl». Данный файл, в свою очередь, отвечает за загрузку и запуск третьего скрипта под названием «ar.sh» (или «i.sh»).

В России и ищешь VPN? Покупай через Телеграмм-бот:

Скрипт «b.sh» декодирует и извлекает бинарный файл в «/usr/bin/vurl», перезаписывая существующую версию скрипта, как пояснил исследователь безопасности Мэтт Мьюр. «Этот бинарный файл отличается от версии скрипта использованием жёстко закодированных доменов управления».

Скрипт «ar.sh» выполняет множество действий, включая создание рабочей директории, установку инструментов для сканирования интернета на наличие уязвимых хостов, отключение брандмауэра и загрузку следующего этапа полезной нагрузки, известной как «chkstart».

Основная цель Golang-бинарного файла «vurl» — настроить хост для удалённого доступа и загрузить дополнительные инструменты, такие как «m.tar» и «top», последний из которых является майнером XMRig.

  Плечевой серфер подсмотрел секреты Консервативной партии в ноутбуке британского министра

В оригинальной кампании Spinning YARN большая часть функционала «chkstart» была реализована с помощью скриптов, пояснил Мьюр. Перенос этого функционала на код Go может указывать на попытку усложнить процесс анализа, так как статический анализ скомпилированного кода значительно сложнее, чем анализ скриптов.

Вместе с «chkstart» загружаются две другие полезные нагрузки: «exeremo» для перемещения на другие хосты и распространения инфекции, а также «fkoths» — ELF бинарный файл на Go для сокрытия следов вредоносной активности и противодействия анализу.

«Exeremo» также предназначен для установки различных инструментов сканирования, таких как pnscan, masscan и пользовательский сканер Docker («sd/httpd»), для обнаружения уязвимых систем.

Это обновление кампании Spinning YARN демонстрирует готовность продолжать атаки на некорректно настроенные хосты Docker для первоначального доступа, отметил Мьюр. Злоумышленники продолжают совершенствовать свои полезные нагрузки, переходя на код Go, что может указывать на попытку усложнить процесс анализа или эксперименты с многоархитектурными сборками.

Приватность — это право, а не роскошь.

Подпишитесь на наш канал и защитите свои права

Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.

Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.

Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.

Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.

Добавить комментарий