Бесплатно Экспресс-аудит сайта:

05.06.2022

Хакерская группировка WatchDog запустила новую криптоджекинговую кампанию

Хакерская группировка WatchDog проводит новую криптоджекинговую кампанию, используя передовые методы взлома, червеобразное распространение вредоносного ПО и техники обхода решений безопасности.

WatchDog атакует конечные точки Docker Engine API и серверы Redis и быстро распространяется с одной скомпрометированной системы по всей сети. Как сообщают обнаружившие вредоносную кампанию специалисты Cado Labs, целью группировки является получение финансовой выгоды путем майнинга криптовалюты с помощью ресурсов незащищенных серверов.

WatchDog запускает атаки, взламывая плохо сконфигурированные конечные точки Docker Engine API через порт 2375, что дает хакерам доступ к демону в заводских настройках. Далее злоумышленники могут создавать списки и модифицировать контейнеры и запускать на них произвольные команды. Первый запускаемый хакерами скрипт cronb.sh проверяет статус заражения хоста, создает списки процессов и извлекает полезную нагрузку ar.sh для второго этапа атаки.

С помощью перехвата команды ps второй скрипт выполняет процесс, скрывающий shell-скрипт. Вдобавок он также меняет временные метки, чтобы сбить с толку исследователей безопасности.

В итоге на скомпрометированную машину устанавливается майнер XMRig.

Полезная нагрузка для третьего этапа атаки использует zgrab, masscan и pnscan для поиска в сети действительных точек и загружает последние два скрипта для распространения инфекции - c.sh и d.sh.

Первый скрипт, c.sh, отключает SELinux и устанавливает настройки ulimit и iptables для подключения к серверам Redis в скомпрометированной сети, при этом отключая любой другой доступ извне.

Второй скрипт, d.sh, похож на первый, но вместо Redis атакует другие конечные точки Docker Engine API и заражает их вредоносным контейнером Alpine Linux, который запускает скрипт для первоначального доступа cronb.sh.