• Home
• Short News
• Long News
• Long Reads
• Support
• Library
• blogs
• links
• Полная версия сайта

Linux-ботнет AESDDoS нацелился на Docker-системы

Вредоносная сеть ищет контейнеры с удаленным доступом к API и внедряет в них трояна для DDoS-атак.

Операторы ботнета AESDDoS ищут неправильно настроенные контейнеры Docker и внедряют в них троян для сбора информации и организации DDoS-атак. Об этом сообщили ИБ-специалисты, изучившие новый вариант вредоносной программы. Злоумышленники сканируют Интернет в поисках открытых портов 2375 и проверяют найденные на сервере контейнеры на возможность удаленного доступа через API.

Как утверждают исследователи, киберпреступники используют ошибки в конфигурировании утилиты DevOps, чтобы проникнуть в контейнер и выполнить в его среде свой скрипт. API Docker позволяет злоумышленникам отправлять на хост связанные с контейнерами команды, которые будут выполнены демоном с root-привилегиями. Таким образом, удаленный доступ к программному интерфейсу контейнера дает атакующим возможность перехватить управление сервером и использовать его ресурсы.

Злоумышленники проводят поиск целей при помощи opensource-утилиты WinEggDrop. Программа отправляет SYN-пакеты по IP-адресам заданного диапазона; выявление уязвимых контейнеров производится с помощью приложения Docker Batch Test Tool. Для внедрения полезной нагрузки во все доступные Docker-образы применяется команда exec, которая доставляет на устройство бэкдор AESDDoS.

Инфицированный компьютер в дальнейшем может использоваться киберпреступниками для flood-атак следующих типов:

• SYN;
• LSYN;
• UDP;
• UDPS;
• TCP.

Дополнительно вредоносная программа передает на командный сервер данные о скомпрометированной системе. Злоумышленники получают сведения о типе процессора, объеме оперативной памяти и версии Linux. По мнению исследователей, эта информация может быть использована нападающими для определения дальнейших действий с зараженной машиной.

Ботнет AESDDoS известен ИБ-специалистам с 2014 года. В апреле 2019-го исследователи уже фиксировали атаки вредоносной сети на компьютеры с установленным ПО Confluence Server. Авторы зловреда использовали уязвимость CVE-2019-3396, чтобы не только загрузить клиентскую программу для DDoS-кампаний, но и внедрить в целевую систему майнер криптовалюты.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

0

Всего голосов: 0

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля