Новый ботнет использует контейнеры Docker для майнинга криптовалюты

Новый ботнет использует контейнеры Docker для майнинга криптовалюты. Фото: Pixabay

По словам исследователей из охранной фирмы CrowdStrike, неизвестный злоумышленник использует ботнет для криптомайнинга LemonDuck для атак на серверы через ProxyLogon. 

Ища открытые API-интерфейсы Docker для начального доступа, злоумышленники затем могут запустить вредоносный контейнер, используя пользовательскую Docker ENTRYPOINT для загрузки файла изображения «core.png», который маскирует сценарий Bash.

Получив первоначальный доступ, злоумышленники могут выполнять ряд действий: злоупотреблять EternalBlue, BlueKeep или аналогичными эксплойтами для повышения привилегий, устанавливать криптомайнеры и перемещаться по скомпрометированным сетям.

Они также могут устанавливать файлы, которые позволяют им избежать обнаружения любыми антивирусами или программами сканирования вредоносных программ, установленными на скомпрометированных конечных точках .

Из всех различных криптомайнеров злоумышленники преимущественно используют XMRig для майнинга Monero, криптовалюты, ориентированной на конфиденциальность, которую, как утверждается, труднее отследить. 

Исследователи также пояснили, что LemonDuck поставляется с файлом под названием «a.asp», который может отключить службу aliyun в облаке Alibaba и , таким образом, избежать обнаружения.

Кампания не была обнаружена раньше, потому что что злоумышленники не сканировали в массовом порядке общедоступные диапазоны IP-адресов в поисках уязвимых поверхностей для атак, а скорее двигались в горизонтальном направлении через LemonDuck в поисках SSH-ключей в файловой системе. Как только они находят ключи SSH, они используют их для входа на серверы и запуска всех вышеупомянутых вредоносных сценариев. 

Startpack подготовил список инструментов для защиты персональных данных и корпоративного коммерческого конфидента. Список включает в себя менеджеры, позволяющие хранить и управлять паролями от всевозможных сервисов, защищённые почтовые службы, шифрующие отправления, службы мониторинга безопасности сайтов, которые помогают вовремя отследить и предотвратить недружественные или зловредные действия. Отдельная категория инструментов — прокси и виртуальные защищённые комнаты для работы с документами.

Статьи по теме

• Microsoft отключает протокол SMB1 в Windows 11 для безопасной передачи файлов.
• VPN провайдер Bitdefender внедряет антитрекер и блокировщик рекламы.
• Ошибка Microsoft Defender испугала пользователей Google Chrome.
• Google предупредит о потенциально опасных расширениях Chrome с помощью значка.