Malware penambang crypto mengeksploitasi instalasi Docker yang tidak aman dengan botnet
General

Malware penambang crypto mengeksploitasi instalasi Docker yang tidak aman dengan botnet

John Leyden

02 Desember 2020 pukul 16:50 UTC

Diperbarui: 02 Desember 2020 pukul 17:19 UTC

Ada sesuatu yang tidak enak di wadah itu

Penjahat dunia maya telah tertangkap mengeksploitasi instalasi Docker yang salah dikonfigurasi untuk menyebarkan malware penambangan kripto.

Peneliti di Cisco Talos mengidentifikasi taktik tersebut setelah botnet penambangan cryptocurrency menyimpang ke sistem honeypot yang disiapkan untuk melacak ancaman terkait Docker.

Botnet yang disebut Xanthe ditargetkan Steam sistem berbasis, tekan ganging sumber daya yang disusupi untuk menambang cryptocurrency Monero untuk penyerang, bukan beban kerja regular instalasi.

“Aktor (ancaman) menggunakan berbagai metode untuk menyebar ke seluruh jaringan, seperti memanen sertifikat sisi klien untuk disebarkan ke host yang dikenal menggunakan SSH, atau menyebar ke sistem dengan API Docker yang tidak dikonfigurasi dengan benar,” menurut a artikel atas ancaman Cisco Talos.

Botnet Xanthe telah aktif sejak Maret tanpa didokumentasikan sebelumnya, menurut Cisco Talos.

Muatan utama botnet adalah varian dari penambangan XMRig Monero malware. Paket pendamping ada untuk mengamankan tenancy atau persistensi pada sistem yang disusupi.

“Dua skrip party tambahan menghentikan layanan keamanan, menghapus botnet pesaing dan memastikan persistensi dengan membuat tugas cron terjadwal dan mengubah salah satu skrip startup sistem,” menurut Cisco Talos.

Lebih penasaran dan cursious…

Vanja Svajcer, seorang peneliti keamanan di Cisco Talos dan rekan penulis posting blognya sebagai mendokumentasikan penemuan tersebut, menggambarkan ancaman tersebut sebagai”sedikit keingintahuan”.

“Jika Anda ingin membangun botnet penambangan, Anda ingin mencari nomor dan tidak banyak instalasi Docker di luar sana – sekitar 6k atau lebih menurut Shodan,” kata Svajcer. The Daily Swig. “Mereka tidak akan seaman endpoint standar sehingga bisa tidak terdeteksi lebih lama.”

Pakar keamanan lainnya mengatakan ancaman itu memiliki implikasi di luar pemasangan Docker yang tidak aman.

“Kami telah melihat ini sebelumnya dengan Shop publik seperti node, Ruby dan Python,” kata profesional infosec Ed Daniel. “Ini tidak berbeda, tanpa kontrol yang kuat ini adalah cara super untuk menyebabkan kekacauan.”

TERKAIT Peretasan jaringan dan ransomware memicu lonjakan kejahatan dunia maya worldwide