В ходе текущей вредоносной кампании хакеры устанавливают криптомайнеры на системы жертв.
https://images.hothardware.com/conte...isco-talos.jpg
API-интерфейсы Docker на Linux-серверах стали мишенью крупномасштабной кампании по добыче криптовалюты Monero со стороны операторов ботнета LemonDuck.
Как сообщили специалисты из компании Crowdstrike, LemonDuck получает доступ к открытым API-интерфейсам Docker и запускает вредоносный контейнер для получения Bash-скрипта, замаскированного под изображение PNG. Полезная нагрузка создает задание cronjob в контейнере для загрузки файла Bash (a.asp), который выполняет следующие действия:<ul><li>Отключает процессы на основе названий известных пулов майнинга, конкурирующих группировок криптомайнинга и пр.</li>
</ul><ul><li>Отключает демонов, таких как crond, sshd и syslog.</li>
</ul><ul><li>Удаляет известные пути к файлам индикатора компрометации.</li>
</ul><ul><li>Отключает сетевые подключения к командному серверу конкурирующих групп криптомайнинга.</li>
</ul><ul><li>Отключает службу мониторинга Alibaba Cloud, которая защищает экземпляры от опасных действий.</li>
</ul>
После выполнения описанных выше действий Bash-скрипт загружает и запускает утилиту криптомайнинга XMRig вместе с файлом конфигурации, который скрывает кошельки злоумышленников за пулами прокси.
После того, как зараженная система была настроена для майнинга, LemonDuck пытается перемещаться по сети с помощью SSH-ключей, найденных в файловой системе. Если они доступны, злоумышленник использует их для повторения того же процесса заражения.