Киберпреступники заражают Docker-контейнеры червем Graboid

Киберпреступники заражают Docker-контейнеры червем Graboid

Graboid включает в себя функции как червя, так и майнера криптовалюты.

Исследователи из Unit 42 компании Palo Alto Networks обнаружили , по их словам, первый червь для криптоджекинга, распространяющийся с помощью контейнеров Docker.

Вредоносное ПО, получившее название Graboid, загружается с C&C-серверов и предназначено для майнинга криптовалюты Monero. Для распространения червь периодически запрашивает у C&C-сервера информацию об уязвимых хостах и случайным образом выбирает следующую цель. По словам исследователей, в среднем каждый криптомайнер активен на протяжении 63% времени, а периоды майнинга составляют 250 с.


В ходе анализа вредоносной кампании было обнаружено 2 тыс. подключенных к Сети установок Docker с отсутствующим механизмом авторизации, что позволяет злоумышленнику получить полный контроль над движком Docker (Community Edition) и хостом.

В ходе атаке киберпреступник может скомпрометировать незащищенный демон Docker, после чего запустить вредоносный контейнер из Docker Hub, получить скрипты и список уязвимых хостов от C&C-сервера, а затем повторить операцию для атаки на следующую цель.

Graboid включает в себя функции как червя, так и майнера криптовалюты. Каждый раз вредонос случайным образом выбирает три цели, устанавливает червь на первой, останавливает работу майнера на второй и запускает его на третьей, создавая непредсказуемое поведение. Вредоносный контейнер не запускается сразу после взлома хоста, а ожидает, когда другой скомпрометированный хост начнет процесс майнинга.

«По сути, майнер на каждом зараженном хосте случайным образом контролируется всеми другими зараженными хостами. Мотивация создания такого случайного механизма неясна. Это может быть результатом плохого дизайна, техникой уклонения от обнаружения (не очень эффективной), самодостаточной системой или преследовать другие цели», — поясняют исследователи Palo Alto Networks.

По словам исследователей, вредоносный образ Docker (pocosow/centos) был загружен более 10 тыс. раз из Docker Hub. Контейнер для майнинга криптовалюты, который размещает червь (gakeaws/nginx), был загружен более 6500 раз. Исследователи также обнаружили, что пользователь gakeaws опубликовал второй образ криптоджекинга (gakeaws/mysql), который имеет идентичное содержание с gakeaws/nginx.


Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.