Хакеры привлекают трафик на свои сайты через Docker

Новая кампания, нацеленная на уязвимые сервисы Docker, развертывает майнер XMRig и приложение 9hits, что позволяет использовать стратегию двойной монетизации на скомпрометированных хостах. Это первый задокументированный случай использования приложения 9Hits в качестве вредоносного ПО, согласно отчету Cado Security.

9Hits – это система обмена трафиком, позволяющая пользователям привлекать трафик на свои сайты. Для этого используется приложение 9hits viewer, устанавливаемое на устройства клиентов и работающее на основе автономного экземпляра браузера Chrome. Пользователи зарабатывают очки, посещая сайты других участников системы, и тратят эти очки, чтобы получать посетителей на свой сайт. Так как это автоматизированный способ повышения трафика сайта, получаемый трафик не является органическим и может не способствовать реальному вовлечению или конверсии.

По данным Cado Security, злоумышленники развертывают приложение 9hits viewer на скомпрометированных хостах Docker, эксплуатируя ресурсы взломанных систем с целью генерации кредитов для себя. Для обнаружения уязвимых серверов, вероятно, используется сканер сети Shodan и далее через Docker API развертываются вредоносные контейнеры.

Контейнеры представлены в образах, полученных из Dockerhub, чтобы уменьшить подозрения. Сценарий распространения, записанный в приманке Cado, использует CLI Docker для установки переменной DOCKER_HOST и выполняет типичные вызовы API для извлечения и запуска контейнеров.

Один из контейнеров запускает майнер XMRig, который добывает криптовалюту Monero для атакующего, используя ресурсы облачной системы. Майнер подключается к частному майнинг-пулу, что делает невозможным отслеживание масштабов кампании или прибыли. Отмечается, что используемый домен для майнинг-пула предполагает использование злоумышленниками динамических DNS-сервисов для поддержания контроля.

Контейнер 9hits запускает сценарий (nh.sh) с токеном сеанса, позволяющий ему аутентифицироваться и генерировать кредиты для злоумышленника, посещая список веб-сайтов. Система токенов сеанса разработана для безопасной работы даже в ненадежных средах, позволяя хакеру получать прибыль без риска быть забаненным. Выбор приложения 9hits обуславливается такими функциями как, например, разрешение всплывающих окон или посещение сайтов для взрослых, но запрет на посещение сайтов, связанных с криптовалютой.

Основным воздействием кампании на скомпрометированные хосты является истощение ресурсов, поскольку майнер XMRig использует все доступные ресурсы процессора, в то время как 9hits потребляет большой объем пропускной способности, памяти и оставшегося количества ЦП. В результате рабочие нагрузки на зараженных серверах не смогут работать должным образом.

Обнаруженная кампания показывает, что злоумышленники постоянно исследуют альтернативные каналы монетизации вне традиционных методов, таких как майнинг криптовалюты. Они диверсифицируют свои атаки и следуют более скрытым путям. Платформы, используемые атакующими, такие как 9hits, нуждаются в более строгих проверках безопасности и политиках для предотвращения несанкционированного использования их приложений, что может привести к финансовым потерям и сбоям в работе организаций.

Субъекты, инвестирующие в облачные вычислительные среды, должны ориентироваться в сложном ландшафте. Для этого требуется использование моделей нулевого доверия (Zero Trust), платформ защиты облачных рабочих нагрузок (Cloud Workload Protection Platform, CWPP) и управления состоянием безопасности облака (Cloud Security Posture Management, CSPM) для улучшения видимости, управления конфигурациями и защиты подверженных атаке активов.