WatchDog атакует конечные точки Docker Engine API и серверы Redis.
https://www.securitylab.ru/upload/ib...ae162a45b.jpeg
Хакерская группировка WatchDog проводит новую криптоджекинговую кампанию, используя передовые методы взлома, червеобразное распространение вредоносного ПО и техники обхода решений безопасности.
WatchDog атакует конечные точки Docker Engine API и серверы Redis и быстро распространяется с одной скомпрометированной системы по всей сети. Как сообщают обнаружившие вредоносную кампанию специалисты Cado Labs, целью группировки является получение финансовой выгоды путем майнинга криптовалюты с помощью ресурсов незащищенных серверов.
WatchDog запускает атаки, взламывая плохо сконфигурированные конечные точки Docker Engine API через порт 2375, что дает хакерам доступ к демону в заводских настройках. Далее злоумышленники могут создавать списки и модифицировать контейнеры и запускать на них произвольные команды. Первый запускаемый хакерами скрипт cronb.sh проверяет статус заражения хоста, создает списки процессов и извлекает полезную нагрузку ar.sh для второго этапа атаки.
С помощью перехвата команды ps второй скрипт выполняет процесс, скрывающий shell-скрипт. Вдобавок он также меняет временные метки, чтобы сбить с толку исследователей безопасности.
В итоге на скомпрометированную машину устанавливается майнер XMRig.
Полезная нагрузка для третьего этапа атаки использует zgrab, masscan и pnscan для поиска в сети действительных точек и загружает последние два скрипта для распространения инфекции - c.sh и d.sh.
Первый скрипт, c.sh, отключает SELinux и устанавливает настройки ulimit и iptables для подключения к серверам Redis в скомпрометированной сети, при этом отключая любой другой доступ извне.
Второй скрипт, d.sh, похож на первый, но вместо Redis атакует другие конечные точки Docker Engine API и заражает их вредоносным контейнером Alpine Linux, который запускает скрипт для первоначального доступа cronb.sh.