Os cibercriminosos infectar hospedeiros Docker com uma API aberta, e depois olhar para aqueles semelhantes usando o serviço de Shodan

Atacantes fazer a varredura do Internet para instalações Docker com APIs abertas e usá-los para distribuir imagens maliciosas Docker infectadas pela mineração Monero criptomoeda e scripts que usam Shodan em busca de novas vítimas.

A nova campanha foi observado por Trend Micro pesquisadores após uma imagem maliciosa com um mineiro cripto foi carregado em uma de suas instalações armadilha.

“Ao analisar os logs e dados de tráfego vindo de e para o honeypot, nós aprendemos que o recipiente veio de um público (e, portanto, acessível) repositório Docker Hub chamado zoolu2. Após a verificação e baixando o conteúdo do repositório, descobrimos que ele continha nove imagens compostas de conchas feitos sob medida, scripts Python, arquivos de configuração, bem como Shodan e software criptomoeda de mineração de binários”, - disse INTREND Micro.

De acordo com os especialistas, os atacantes usar um script para encontrar hosts vulneráveis ​​com uma porta aberta 2375, cortá-los usando força bruta, e em seguida, instalar recipientes maliciosos.

Como explicado peritos da Alibaba Nuvem equipe de segurança, que também gravou os ataques, o API remoto de encaixe configurado de forma incorrecta pode ser utilizado para o acesso não autorizado aos dados de encaixe, roubo ou alteração de informações importantes ou intercepção de controle sobre o servidor.

cadeia infecção
cadeia infecção

Os invasores usam APIs abertas para executar comandos no host Docker, permitindo-lhes gerir recipientes ou criar novos a partir de imagens a partir do repositório controlado por eles na Docker Hub.

Trend Micro especialistas conseguiu localizar um desses repositórios. Usuário com pseudônimo zoolu2 Possuía, e o próprio repositório continha nove imagens, incluindo escudo escudos personalizados, scripts Python, arquivos de configuração, bem como Shodan scripts e mineração criptomoeda software.

“Imagens maliciosas Docker são distribuídos automaticamente usando um script que verifica” hosts para publicamente disponível APIs “e usa comandos Docker (POSTAR / recipientes / crio) para criar um recipiente maliciosos remotamente. O mesmo script inicia o daemon SSH para comunicação remota com os atacantes”, - informados especialistas da Trend Micro.

Próximo, forro de criptografia e o processo de digitalização lançado simultaneamente para procurar novos hospedeiros vulneráveis. Iplist.txt arquivo contém lista de vítimas’ endereços IP contém o verificado para duplicatas e, em seguida, enviado para os atacantes em C&servidor C.

Embora a equipe de Docker já excluiu o repositório “malicioso”, especialistas dizem que há outros relatos semelhantes sobre o Hub Docker, e se eles são excluídos, os atacantes estão migrando para os novos.

Fontes: https://blog.trendmicro.com, https://www.alibabacloud.com/blog

Sobre Trojan Killer

Carry Trojan Killer portátil em seu memory stick. Certifique-se que você é capaz de ajudar o seu PC resistir a quaisquer ameaças cibernéticas onde quer que vá.

Além disso, verifique

MageCart na Cloud Platform Heroku

Os investigadores encontraram vários MageCart Web Skimmers Em Heroku Cloud Platform

Pesquisadores da Malwarebytes informou sobre encontrar vários skimmers MageCart web na plataforma Heroku nuvem …

Android Spyware CallerSpy

máscaras spyware CallerSpy como uma aplicação de chat Android

Trend Micro especialistas descobriram a CallerSpy malwares, que mascara como uma aplicação de chat Android, …

Deixar uma resposta