Хакеры майнят криптовалюту через уязвимые Docker-сервисы, используя сеть Tor для сокрытия активности
изображение: recraft
Специалисты компании Trend Micro сообщили о серии атак, нацеленных на неправильно настроенные API Docker, с целью развертывания криптомайнеров в уязвимых контейнеризированных средах. Исследователи Сунил Бхарти и Шубхам Сингх отметили, что злоумышленники используют анонимную сеть Tor для маскировки источника атак и скрытого взаимодействия с инфраструктурой управления.
Атака начинается с запроса, направленного на получение информации о всех контейнерах, запущенных на целевой машине. Если таковых не обнаружено, атакующие создают новый контейнер на основе образа Alpine и монтируют внутрь него корневой каталог хоста. Это даёт злоумышленникам доступ к файловой системе хост-машины и позволяет обходить изоляцию контейнеров, что чревато компрометацией всей среды.
Далее выполняется скрипт в кодировке Base64, содержащий инструкции по настройке Tor прямо внутри контейнера. Через сеть .onion загружается удалённый скрипт с домена wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion, после чего начинается выполнение вредоносного кода.
Для передачи данных и взаимодействия с C&C-серверами используется протокол socks5h, который позволяет направлять как трафик, так и DNS-запросы исключительно через Tor. Это затрудняет обнаружение и отслеживание источников активности, обеспечивая злоумышленникам высокий уровень анонимности в скомпрометированных контейнерных или облачных средах.
