Скрытый майнинг через уязвимые Docker API и сеть Tor

Недавняя масштабная кибератака выявила новый уровень сложности в использовании контейнерных технологий и анонимных сетей для организации скрытого майнинга криптовалют. Злоумышленники применили неправильно настроенные удаленные API-интерфейсы Docker вместе с сетью Tor, обеспечив не только доступ к инфраструктуре жертвы, но и надежную маскировку своих действий.

Как проходила атака

Основной вектор атаки заключался в использовании открытых удаленных API Docker-серверов. Известно, что неправильно настроенные такие интерфейсы представляют угрозу, позволяя злоумышленникам получить контроль над контейнерной средой без аутентификации.

• Первый шаг атакующих — отправка запроса с IP-адреса 198.199.72.27 к Docker API для получения списка активных контейнеров.
• Далее злоумышленники создают новый контейнер на базе образа alpine, монтируя корневой каталог хоста из контейнера. Этот метод позволяет манипулировать основной системой с помощью контейнера.
• Для скрытия основной нагрузки команды кодируются в base64, что усложняет их обнаружение и анализ. После декодирования внутри контейнера разворачивается среда Tor.

Использование Tor для анонимности и управления

Среда Tor, развернутая злоумышленниками внутри контейнера, обеспечивает анонимное взаимодействие с командным сервером, работающим по адресу .onion. Это решение

практически исключает возможность отслеживания инфраструктуры управления, а значит, значительно затрудняет расследование инцидента.

Ключевые инструменты злоумышленников

• zstd — инструмент для эффективного сжатия и распаковки полезной нагрузки, что снижает объем передаваемых данных и повышает скрытность.
• docker-init.sh — вредоносный shell-скрипт, который изменяет настройки SSH на хосте, включая разрешение входа под root, а также внедряет открытый SSH-ключ в файл authorized_keys, тем самым создавая постоянный бэкдор.
• masscan — для сканирования сети и бокового перемещения внутри инфраструктуры жертвы.
• torsocks — инструмент, позволяющий передавать весь трафик через сеть Tor, исключая утечки и сохраняя анонимность коммуникаций.

Развертывание криптомайнера

После закрепления доступа и установки анонимной среды злоумышленники загрузили полезную нагрузку, сжатую по стандарту Z и адаптированную под архитектуру целевой системы. Этот дроппер включал полный комплект компонентов для работы криптомайнера XMRig и не требовал дополнительной загрузки извне.

Данный подход имеет следующие преимущества:

• Минимизация объема сетевого трафика, что снижает риск обнаружения.
• Увеличение устойчивости атаки благодаря отсутствию необходимости постоянно обращаться к внешним ресурсам.
• Повышение скрытности при развертывании и эксплуатации майнера.

Выводы и рекомендации

Кампания демонстрирует опасность неправильно защищенных Docker API, особенно при взаимодействии с анонимными сетями типа Tor. Для предотвращения подобных атак важно:

• Корректно настраивать Docker API, ограничивая доступ и применяя аутентификацию.
• Мониторить подозрительные операции с контейнерами, особенно связанные с монтированием корневого раздела хоста.
• Отслеживать попытки изменения SSH-конфигураций и внедрения новых ключей.
• Применять средства обнаружения вымогателей и майнеров, включая анализ трафика, проходящего через Tor.

Данный инцидент подчеркивает, что современные масштабные кибератаки становятся все более изощренными, комбинируя разнообразные инструменты и технологии для обеспечения максимальной скрытности и устойчивости.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.