Преступники взламывают кластеры Docker через административные API-порты, незащищенные паролем.
https://www.securitylab.ru/upload/ib...453d02565a.jpg
В течение последних нескольких месяцев преступники в ходе вредоносной кампании сканируют Сеть на предмет уязвимых Docker-серверов, использующих незащищенные паролем API-порты. Затем злоумышленники взламывают незащищенные хосты и устанавливают новую разновидность криптовалютного майнера под названием Kinsing.
По словам специалистов из компании Aqua Security, атаки https://blog.aquasec.com/threat-aler...-vulnerabilityв прошлом году и продолжаются до сих пор. Когда преступники находят уязвимый Docker-сервер с открытым API-портом, они используют доступ для запуска контейнера Ubuntu, где они загружают и устанавливают вредоносное ПО Kinsing.
Основная цель вредоносной программы — добыча криптовалюты на взломанном сервере, но она также выполняет и другие задачи. К ним относятся выполнение скриптов, удаляющих другие локальные вредоносные программы, а также сбор локальных учетных данных SSH с целью распространения в контейнерную сеть компании заражения других облачных систем.
Поскольку атаки Kinsing все еще продолжаются, эксперты рекомендуют компаниям проверить параметры безопасности своих серверов и убедиться, что никакие административные API-порты не доступны в Сети.