Commando Cat: как хакеры превращают ваши серверы в майнинг-фермы

Группа киберпреступников Commando Cat продолжаетфинансово-мотивированную кампанию ” data-html=”true” data-original-title=”Криптоджекинг” >криптоджекинга, направленную на неправильно настроенные Docker-инстансы.

Названная так из-за использования проекта Commando для создания контейнеров, группировка впервые была задокументирована Cado Security в начале этого года.

Злонамеренная деятельность киберпреступников включает в себя создание контейнеров с помощью образа “cmd.cat/chattr”, после чего они могут управлять Docker на скомпрометированном хосте.

Процесс каждой атаки начинается с проверки доступности Docker Remote API сервера. После подтверждения доступности, происходит создание контейнера, который позволяет злоумышленникам выйти на уровень операционной системы хоста.

Если необходимый образ отсутствует, атакующие извлекают его из репозитория “cmd.cat”, после чего следует создание контейнера. В ходе этого процесса злоумышленники выполняют строку, закодированную в base64, которая расшифровывается в скрипт. Этот скрипт проверяет наличие файла в системе и, если файл отсутствует, загружает и выполняет вредоносный бинарный файл ZiggyStarTux – IRC-бот с открытым исходным кодом, основанный на вредоносном ПО Kaiten (он же Tsunami).

Хотя C2-сервер злоумышленников был недоступен на момент анализа исследователями, наличие определённых строк User-Agent в бинарном коде позволило отследить наличие этого ПО в сети.

Схема атаки

“Значимость этой атаки заключается в использовании Docker-образов для развёртывания криптоджекинговых скриптов на компрометированных системах”, – отметили исследователи Trend Micro. “Эта тактика позволяет злоумышленникам эксплуатировать уязвимости в конфигурациях Docker и избегать обнаружения антивирусным ПО”.

Для защиты окружений разработки от подобных атак, рекомендуется тщательно настраивать контейнеры и API, использовать только официальные или сертифицированные образы и проводить регулярные аудиты безопасности.

Public Release.