Уязвимые сервисы Docker стали мишенью новой кампании, в рамках которой злоумышленники внедряют майнер криптовалюты XMRig, а также программное обеспечение 9Hits Viewer в рамках многоцелевой стратегии монетизации.
"Это первый задокументированный случай, когда вредоносное ПО использует приложение 9Hits в качестве полезной нагрузки", - заявила компания по облачной безопасности Cado, добавив, что разработка является признаком того, что злоумышленники всегда ищут способы диверсифицировать свои стратегии, чтобы зарабатывать деньги на скомпрометированных хостах.
9Hits рекламирует себя как "уникальное решение для веб-трафика" и "автоматический обмен трафиком", который позволяет пользователям сервиса направлять трафик на свои сайты в обмен на покупку кредитов.
Это достигается с помощью программного обеспечения под названием 9Hits Viewer, которое запускает безголовый экземпляр браузера Chrome для посещения веб-сайтов, запрошенных другими участниками, за что они получают кредиты для оплаты трафика на свои сайты.
Точный метод, используемый для распространения вредоносного ПО на уязвимых хостах Docker, в настоящее время неясен, но предполагается, что он связан с использованием поисковых систем, таких как Shodan, для сканирования потенциальных целей.
Затем происходит взлом серверов для развертывания двух вредоносных контейнеров через Docker API и извлечения готовых образов из библиотеки Docker Hub для программного обеспечения 9Hits и XMRig.
"Это обычный вектор атаки для кампаний, нацеленных на Docker, когда вместо получения индивидуального изображения для своих целей они извлекают общее изображение с Dockerhub (которое почти всегда будет доступно) и используют его для своих нужд", - сказал исследователь безопасности Нейт Билл.
Затем контейнер 9Hits используется для выполнения кода для генерации кредитов для злоумышленника путем аутентификации с помощью 9Hits, используя их токен сеанса, и извлечения списка сайтов для посещения.
Участники угрозы также настроили схему, позволяющую посещать сайты для взрослых или сайты, которые показывают всплывающие окна, но не позволяют посещать сайты, связанные с криптовалютой.
Другой контейнер используется для запуска майнера XMRig, который подключается к частному пулу майнинга, что делает невозможным определение масштаба кампании и прибыльности.
"Основное влияние этой кампании на скомпрометированные хосты заключается в истощении ресурсов, поскольку майнер XMRig будет использовать все доступные ресурсы процессора, в то время как 9hits будет использовать большую пропускную способность, память и то немногое, что осталось от процессора", - сказал Билл.
"Результатом этого является то, что законные рабочие нагрузки на зараженных серверах не смогут выполняться должным образом. Кроме того, кампания может быть обновлена, чтобы оставить в системе удаленную оболочку, что потенциально может привести к более серьезному нарушению".
"Это первый задокументированный случай, когда вредоносное ПО использует приложение 9Hits в качестве полезной нагрузки", - заявила компания по облачной безопасности Cado, добавив, что разработка является признаком того, что злоумышленники всегда ищут способы диверсифицировать свои стратегии, чтобы зарабатывать деньги на скомпрометированных хостах.
9Hits рекламирует себя как "уникальное решение для веб-трафика" и "автоматический обмен трафиком", который позволяет пользователям сервиса направлять трафик на свои сайты в обмен на покупку кредитов.
Это достигается с помощью программного обеспечения под названием 9Hits Viewer, которое запускает безголовый экземпляр браузера Chrome для посещения веб-сайтов, запрошенных другими участниками, за что они получают кредиты для оплаты трафика на свои сайты.
Точный метод, используемый для распространения вредоносного ПО на уязвимых хостах Docker, в настоящее время неясен, но предполагается, что он связан с использованием поисковых систем, таких как Shodan, для сканирования потенциальных целей.
Затем происходит взлом серверов для развертывания двух вредоносных контейнеров через Docker API и извлечения готовых образов из библиотеки Docker Hub для программного обеспечения 9Hits и XMRig.
"Это обычный вектор атаки для кампаний, нацеленных на Docker, когда вместо получения индивидуального изображения для своих целей они извлекают общее изображение с Dockerhub (которое почти всегда будет доступно) и используют его для своих нужд", - сказал исследователь безопасности Нейт Билл.
Затем контейнер 9Hits используется для выполнения кода для генерации кредитов для злоумышленника путем аутентификации с помощью 9Hits, используя их токен сеанса, и извлечения списка сайтов для посещения.
Участники угрозы также настроили схему, позволяющую посещать сайты для взрослых или сайты, которые показывают всплывающие окна, но не позволяют посещать сайты, связанные с криптовалютой.
Другой контейнер используется для запуска майнера XMRig, который подключается к частному пулу майнинга, что делает невозможным определение масштаба кампании и прибыльности.
"Основное влияние этой кампании на скомпрометированные хосты заключается в истощении ресурсов, поскольку майнер XMRig будет использовать все доступные ресурсы процессора, в то время как 9hits будет использовать большую пропускную способность, память и то немногое, что осталось от процессора", - сказал Билл.
"Результатом этого является то, что законные рабочие нагрузки на зараженных серверах не смогут выполняться должным образом. Кроме того, кампания может быть обновлена, чтобы оставить в системе удаленную оболочку, что потенциально может привести к более серьезному нарушению".
