Хакеры добывают криптовалюту через уязвимые Docker-серверы, прячась в сети Tor

Злоумышленники начали массово использовать неправильно настроенные Docker API для установки криптомайнеров в корпоративные облачные среды. При этом весь трафик проходит через сеть Tor, что значительно усложняет отслеживание их действий. Об этом сообщили аналитики Trend Micro, изучившие новую волну атак.

Сценарий всегда начинается с запроса от IP-адреса 198.199.72[.]27 — он используется для получения списка контейнеров на целевой машине. Если контейнеров нет, создается новый на базе образа Alpine с монтированием корневой директории хоста. Это дает хакерам прямой доступ к файловой системе машины и позволяет выйти за пределы контейнера.

Как уточняется в отчете Trend Micro, в момент создания контейнера через Base64-шифрованный скрипт устанавливается Tor-клиент. Вся последующая активность — загрузка вредоносного кода, подключение к C&C-серверу и установка SSH-доступа — маскируется внутри Tor-сети. В систему внедряется скрипт docker-init.sh, который модифицирует SSH-конфигурацию хоста и внедряет ключи для удалённого доступа.

Для дальнейшей активности используются инструменты masscan, torsocks, zstd и другие. После сбора данных о системе загружается XMRig — популярный майнер Monero, а вместе с ним передаётся и вся конфигурация: адрес кошелька, настройки пула и параметры добычи. По данным Trend Micro, цель атак — технологические компании, финтех и здравоохранение.

Этот инцидент стал очередным подтверждением растущей волны атак на облачные сервисы и плохо защищенные контейнерные среды. Тем временем другая компания, Wiz, сообщила о сотнях утечек секретных ключей и паролей из открытых репозиториев. Всё чаще именно ошибки в конфигурации становятся точкой входа для киберпреступников — особенно в условиях, когда код хранится без должной защиты.