Новый виток в кибератаках: хакеры обновили методы для атак на Docker

Согласно последнему отчету компании Datadog, киберпреступники адаптировали свои методы атаки, нацелившись на публичные API Docker. Обновленная кампания, получившая название «Spinning YARN 2.0», демонстрирует усовершенствованные способы доставки криптовалютных майнеров и другого вредоносного ПО.

Атака начинается с идентификации серверов Docker, доступных через порт 2375, после чего следует серия действий: от разведки до эксплуатации уязвимостей для повышения привилегий. Вредоносы загружаются через многоуровневую систему скриптов, начиная со скрипта «vurl», который действует как ворота для последующих этапов атаки.

Специфика новой кампании заключается в том, что используется усовершенствованное программное обеспечение на Golang, которое затрудняет анализ вирусной активности. Этот язык позволяет вредоносам более эффективно скрываться от антивирусных программ и усложняет процесс их обнаружения и анализа.

Одна из загружаемых программ, «chkstart», выполняет роль координатора для установки дополнительных инструментов, включая майнер XMRig, и обладает функционалом для сканирования и заражения других хостов в сети. Другие компоненты, такие как «exeremo» и «fkoths», выполняют функции распространения вируса на новые системы и сокрытия следов атак.