Misgeconfigureerde Docker -instanties zijn het doelwit van een campagne die het Tor Anonimity Network gebruikt om een zeer cryptocurrency in vatbare omgevingen te mijnen.
“Aanvallers exploiteren verkeerd geconfigureerde Docker API’s om toegang te krijgen tot container omgevingen en gebruiken vervolgens TOR om hun activiteiten te maskeren terwijl ze crypto -mijnwerkers inzetten,” zeiden Trend Micro -onderzoekers Sunil Bharti en Shubham Singh in een analyse die vorige week werd gepubliceerd.
Bij het gebruik van TOR is het idee om hun oorsprong te anonimiseren tijdens de installatie van de mijnwerker op gecompromitteerde systemen. De aanvallen, volgens het Cybersecurity Company, beginnen met een verzoek van het IP -adres 198.199.72 (.) 27 om een lijst van alle containers op de machine te verkrijgen.
Als er geen containers aanwezig zijn, maakt de aanvaller verder met het maken van een nieuwe op basis van de “Alpine” Docker -afbeelding en monteert de directory “/Hostroot” – dwz de Root Directory (“https://thehackernews.com/”) van de fysieke of virtuele gastheermachine – als een volume daarbinnen. Dit gedrag vormt beveiligingsrisico’s, omdat het de container toegang heeft tot en de bestanden en mappen op het hostsysteem toegang heeft en wijzigt, wat resulteert in een ontsnapping van de container.
De dreigingsacteurs voeren vervolgens een zorgvuldig georkestreerde volgorde van acties uit waarbij een Base64-gecodeerd shell-script wordt uitgevoerd om de container op te zetten als onderdeel van het creatieaanvraag en uiteindelijk een extern script van een .onion-domein uit te voeren en uit te voeren van een .onion-domein )
“Het weerspiegelt een gemeenschappelijke tactiek die door aanvallers wordt gebruikt om command-and-control (C&C) infrastructuur te verbergen, detectie te voorkomen en malware of mijnwerkers te leveren in gecompromitteerde cloud- of containeromgevingen,” zeiden de onderzoekers. “Bovendien gebruikt de aanvaller ‘Socks5H’ om alle verkeers- en DNS -resolutie door TOR te routeren voor verbeterde anonimiteit en ontwijking.”
Nadat de container is gemaakt, wordt het shell-script “Docker-Init.sh” geïmplementeerd, die vervolgens controleert op de eerder gemonteerde “/Hostroot” -map en wijzigt de SSH-configuratie van het systeem om externe toegang in te stellen door Root Login in te schakelen en een aanvaller-gecontroleerde SSH-sleutel in de ~/.ssh/Authorized_Keys-bestand in te stellen.
De dreigingsacteur is ook gevonden om verschillende tools te installeren, zoals MassCan, LIBPCAP, ZSTD en TORSOCTS, Beacon van de C & C -serverdetails over het geïnfecteerde systeem, en uiteindelijk een binair af te leveren dat fungeert als een druppel voor de XMRIG Cryptocurrency Miner, samen met de noodzakelijke mijnbouwconfiguratie, de wallet -adressen, en mijnpools urls.
“Deze aanpak helpt aanvallers detectie te voorkomen en vereenvoudigt de implementatie in gecompromitteerde omgevingen,” zei Trend Micro, en voegde eraan toe dat de activiteiten op het gebied van technologiebedrijven, financiële diensten en zorgorganisaties.
De bevindingen wijzen op een voortdurende trend van cyberaanvallen die zich richten op verkeerd geconfigureerde of slecht beveiligde cloudomgevingen voor cryptojacking -doeleinden.
De ontwikkeling komt wanneer Wiz onthulde dat een scan van openbare code -repositories honderden gevalideerde geheimen in MCP.JSON, .env en AI Agent Configuration Files en Python Notebooks (.ipynb) heeft ontdekt, waardoor ze een schat in een schat om te zetten voor aanvallers.
Het cloudbeveiligingsbedrijf zei dat het geldige geheimen vond die behoren tot meer dan 30 bedrijven en startups, waaronder die van Fortune 100 -bedrijven.
“Naast alleen geheimen moeten code -uitvoeringsresultaten in Python -notebooks over het algemeen als gevoelig worden behandeld,” zeiden onderzoekers Shay Berkovich en Rami McCarthy. “Hun inhoud, indien gecorreleerd met de organisatie van een ontwikkelaar, kan verkenningsdetails bieden voor kwaadaardige acteurs.”
