Cybersecurity -onderzoekers hebben een malware -campagne gedetailleerd die zich richt op Docker -omgevingen met een eerder niet -gedocumenteerde techniek om cryptocurrency te minen.
Het activiteitencluster, per Darktrace en Cado Security, vertegenwoordigt een verschuiving van andere cryptojackingcampagnes die mijnwerkers zoals XMRIG rechtstreeks inzetten om illegaal te profiteren van de rekenbronnen.
Dit omvat het implementeren van een malware -stam die verbinding maakt met een opkomende Web3 -service genaamd Teneo, een gedecentraliseerd fysiek infrastructuurnetwerk (Depin) waarmee gebruikers inkomsten kunnen verdienen aan publieke sociale media -gegevens door een gemeenschapsknooppunt te runnen in ruil voor beloningen genaamd Teneo Points, die kan worden omgebouwd tot $ Teno -tokens.
Het knooppunt functioneert in wezen als een gedistribueerde sociale media -schraper om berichten te extraheren van Facebook, X, Reddit en Tiktok.
Een analyse van artefacten verzameld uit zijn honeypots heeft onthuld dat de aanval begint met een verzoek om een containerafbeelding “Kazutod/Tene: Ten” van het Docker Hub -register te lanceren. De afbeelding is twee maanden geleden geüpload en is tot nu toe 325 keer gedownload.
De containerafbeelding is ontworpen om een ingebed Python -script uit te voeren dat zwaar verdoezeld is en 63 iteraties vereist om de werkelijke code uit te pakken, die een verbinding met Teneo (.) Pro instelt.
“Het malwarescript maakt eenvoudig verbinding met de WebSocket en verzendt Keep-Alive Pings om meer punten van Teneo te behalen en doet geen echt schrapen,” zei DarkTrace in een rapport dat wordt gedeeld met het Hacker News. “Op basis van de website zijn de meeste beloningen afgesloten achter het aantal uitgevoerde hartslagen, wat waarschijnlijk is waarom dit werkt.”
De campagne doet denken aan een ander kwaadaardig dreigingsactiviteitcluster waarvan bekend is dat het verkeerd geconfigureerde Docker -instanties infecteert met de 9Hits Viewer Software om verkeer naar bepaalde sites te genereren in ruil voor het verkrijgen van credits.
De inbraakset is ook vergelijkbaar met andere schema’s voor het delen van bandbreedtes, zoals proxyjacking waarbij een specifieke software wordt gedownload om ongebruikte internetbronnen te delen voor een soort financiële stimulans.
“Meestal zijn traditionele cryptojacking -aanvallen afhankelijk van het gebruik van XMRIG om cryptocurrency rechtstreeks te ontginnen, maar omdat XMRIG sterk wordt gedetecteerd, verschuiven aanvallers naar alternatieve methoden voor het genereren van crypto,” zei Darktrace. “Of dit winstgevender is, valt nog te bezien.”
De openbaarmaking komt wanneer Fortinet Fortiguard Labs een nieuw botnet onthulde dat Rustobot wordt nagesynchroniseerd die zich voortplant door beveiligingsfouten in Totolink (CVE-2022-26210 en CVE-2022-26187) en Draytek (CVE-2024-12987), met als doel DDOS-aanvallen. De exploitatie -inspanningen zijn gevonden om zich voornamelijk op de technologiesector in Japan, Taiwan, Vietnam en Mexico te richten.
“IoT- en netwerkapparaten zijn vaak slecht verdedigde eindpunten, waardoor ze aantrekkelijke doelen zijn voor aanvallers om kwaadaardige programma’s te exploiteren en te leveren,” zei beveiligingsonderzoeker Vincent Li. “Het versterken van eindpuntmonitoring en authenticatie kan het risico op uitbuiting aanzienlijk verminderen en malwarecampagnes helpen verminderen.”
