Хакерская группировка WatchDog запустила новую криптоджекинговую кампанию
WatchDog атакует конечные точки Docker Engine API и серверы Redis.
Хакерская группировка WatchDog проводит новую криптоджекинговую кампанию, используя передовые методы взлома, червеобразное распространение вредоносного ПО и техники обхода решений безопасности.
WatchDog атакует конечные точки Docker Engine API и серверы Redis и быстро распространяется с одной скомпрометированной системы по всей сети. Как сообщают обнаружившие вредоносную кампанию специалисты Cado Labs, целью группировки является получение финансовой выгоды путем майнинга криптовалюты с помощью ресурсов незащищенных серверов.
WatchDog запускает атаки, взламывая плохо сконфигурированные конечные точки Docker Engine API через порт 2375, что дает хакерам доступ к демону в заводских настройках. Далее злоумышленники могут создавать списки и модифицировать контейнеры и запускать на них произвольные команды. Первый запускаемый хакерами скрипт cronb.sh проверяет статус заражения хоста, создает списки процессов и извлекает полезную нагрузку ar.sh для второго этапа атаки.
С помощью перехвата команды ps второй скрипт выполняет процесс, скрывающий shell-скрипт. Вдобавок он также меняет временные метки, чтобы сбить с толку исследователей безопасности.
В итоге на скомпрометированную машину устанавливается майнер XMRig.
Полезная нагрузка для третьего этапа атаки использует zgrab, masscan и pnscan для поиска в сети действительных точек и загружает последние два скрипта для распространения инфекции - c.sh и d.sh.
Первый скрипт, c.sh, отключает SELinux и устанавливает настройки ulimit и iptables для подключения к серверам Redis в скомпрометированной сети, при этом отключая любой другой доступ извне.
Второй скрипт, d.sh, похож на первый, но вместо Redis атакует другие конечные точки Docker Engine API и заражает их вредоносным контейнером Alpine Linux, который запускает скрипт для первоначального доступа cronb.sh.
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!