Операторы криптомайнера Kinsing атакуют Docker-серверы

В течение последних нескольких месяцев преступники в ходе вредоносной кампании сканируют Сеть на предмет уязвимых Docker-серверов, использующих незащищенные паролем API-порты. Затем злоумышленники взламывают незащищенные хосты и устанавливают новую разновидность криптовалютного майнера под названием Kinsing.

По словам специалистов из компании Aqua Security, атаки начались в прошлом году и продолжаются до сих пор. Когда преступники находят уязвимый Docker-сервер с открытым API-портом, они используют доступ для запуска контейнера Ubuntu, где они загружают и устанавливают вредоносное ПО Kinsing.

Основная цель вредоносной программы — добыча криптовалюты на взломанном сервере, но она также выполняет и другие задачи. К ним относятся выполнение скриптов, удаляющих другие локальные вредоносные программы, а также сбор локальных учетных данных SSH с целью распространения в контейнерную сеть компании заражения других облачных систем.

Поскольку атаки Kinsing все еще продолжаются, эксперты рекомендуют компаниям проверить параметры безопасности своих серверов и убедиться, что никакие административные API-порты не доступны в Сети.