Commando Cat: украденные данные, бэкдоры и криптомайнинг

Открытые конечные точки Docker API подвергаются атакам через интернет в рамках сложной кампании криптоджекинга под названием «Commando Cat».

«В операции используется безопасный контейнер, созданный с использованием проекта Commando », — объяснили исследователи безопасности Cado Security. «Злоумышленники нашли способ выйти из этого контейнера и запустить произвольные полезные нагрузки на хосте Docker».

Предполагается, что кампания активна с начала 2024 года. Это уже вторая подобная кампания, выявленная за последние пару месяцев. В середине января эксперты обнаружили ещё один кластер атак на уязвимые Docker-хосты для развёртывания криптомайнера XMRig и программного обеспечения 9Hits Viewer.

В рамках рассматриваемой операции Docker используется в качестве первоначального вектора доступа для доставки набора взаимозависимых вредоносных программ с сервера злоумышленников. Этот сервер отвечает за сохранение постоянного присутствия в системе, установку бэкдоров, эксфильтрацию учётных данных поставщиков облачных служб и непосредственно запуск криптомайнера.

Полученный доступ к уязвимым экземплярам Docker в дальнейшем используется для развёртывания безвредного контейнера с помощью открытого инструмента Commando и выполнения вредоносной команды, позволяющей «вырваться» за пределы контейнера с помощью chroot.

Также выполняется серия проверок на наличие активных служб с именами «sys-kernel-debugger», «gsc», «c3pool_miner» и «dockercache» на скомпрометированной системе. Следующий этап начинается только в том случае, если эта проверка проходит успешно, и включает в себя получение дополнительных вредоносных программ с командного сервера злоумышленников.

Среди получаемых программ — скрипт-бэкдор «user.sh», способный добавлять SSH-ключи и создавать поддельных пользователей с известными злоумышленникам паролями и правами суперпользователя. Также доставляются скрипты «tshd.sh», «gsc.sh» и «aws.sh» для установки бэкдоров и эксфильтрации учётных данных.

Атака завершается развёртыванием ещё одной полезной нагрузки в виде скрипта, закодированного в Base64, который устанавливает майнер криптовалют XMRig, предварительно удалив конкурирующие майнеры с заражённой машины.

Точное происхождение угрозы пока неизвестно, хотя обнаружены пересечения со скриптами и IP-адресами командного сервера групп криптоджекеров TeamTNT. Возможно, речь идёт о группировке-подражателе.

По словам исследователей, «это вредоносное ПО функционирует как похититель учётных данных, скрытный бэкдор и криптомайнер одновременно». Это делает его универсальным инструментом для максимального использования ресурсов инфицированных машин.