Боты Xanthe проникают на Linux через плохо настроенные Docker API
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Боты Xanthe проникают на Linux через плохо настроенные Docker API

Татьяна Никитина 03 Декабря 2020 - 08:53
...
Боты Xanthe проникают на Linux через плохо настроенные Docker API

Обнаружен новый Linux-ботнет, построенный на серверах Docker. Анализ показал, что лежащий в его основе вредонос с кодовым именем Xanthe распространяется в основном через Docker API, которые из-за неправильной конфигурации оказались доступны из интернета и плохо защищены.

По данным Cisco Talos, новоявленный ботнет активен уже больше полугода. В настоящее время он используется для добычи Monero за счет чужих мощностей и с этой целью загружает на серверы вариант криптомайнера XMRig.

Скриптовый зловред, на котором основан Xanthe, имеет модульную структуру. Основной компонент xanthe.sh, название которого эксперты используют для идентификации бот-сети, загружается с помощью скрипта pop.sh. После запуска xanthe.sh скачивает еще четыре модуля, в том числе XMRig с конфигурационным файлом в формате JSON.

 

Остальные вспомогательные модули выполняют защитные функции:

  • libprocesshider.so скрывает процессы бота;
  • шелл-скрипт xesa.txt отключает сторонние майнеры и службы безопасности;
  • шелл-скрипт fczyo завершает процессы Docker-контейнеров конкурирующих троянских программ и создает новых пользователей sysall, system, logger и autoupdater, чтобы обеспечить возможность выполнения команд с привилегиями администратора.

Основной скрипт Xanthe также отвечает за распространение инфекции на другие компьютеры в локальных и удаленных сетях. С этой целью он ослабляет защиту SSH-демона и крадет сертификаты на стороне клиента, чтобы с их помощью авторизоваться на удаленных хостах и запустить команду на загрузку своей копии.

Поиск через Shodan, проведенный исследователями, выявил более 6 тыс. уязвимых серверов Docker — в основном в США, Китае, Ирландии, Японии и Южной Корее. К сожалению, выбрать правильные настройки для Docker API не так уж просто, и соответствующий демон зачастую оказывается открытым для злоупотреблений. Хакеры прекрасно это знают и не упускают случая воспользоваться такой возможностью. В частности, Docker-серверы часто избирает мишенью криминальная группа TeamTNT.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

PT ISIM 5.8 получил функции поиска и контроля устранения уязвимостей
Екатерина Быстрова 23 Октября 2025 - 13:07
PT Industrial Security Incident Manager (PT ISIM) Корпорации Защита критически важных объектов Positive Technologies
PT ISIM 5.8 получил функции поиска и контроля устранения уязвимостей

Компания Positive Technologies представила обновление своей системы для кибербезопасности промышленных инфраструктур — PT Industrial Security Incident Manager (PT ISIM) версии 5.8. Теперь продукт не только отслеживает инциденты, но и помогает обнаруживать, оценивать и контролировать устранение уязвимостей в программном обеспечении и операционных системах.

Разработчики объясняют: защита промышленных объектов требует не только мониторинга сетевого трафика, но и полноценного цикла управления уязвимостями — от поиска до закрытия.

Для этого в PT ISIM 5.8 реализована интеграция данных об активах, которые система собирает с рабочих станций и серверов.

Информация поступает двумя способами — через агент PT ISIM Endpoint, установленный на конечных узлах, и через сетевой сканер, который получает данные удаленно, если установка агента невозможна.

В новой версии специалисты по ИБ и ИТ могут видеть все найденные уязвимости в ОС и приложениях, отслеживать их опасность и статус устранения. PT ISIM 5.8 также использует базу знаний Positive Technologies о реально эксплуатируемых и трендовых уязвимостях, помогая приоритизировать работу по исправлению критических ошибок.

«Устаревшие операционные системы и программы — одна из главных причин успешных атак. Поэтому важно понимать, какие риски несут такие компоненты и как их компенсировать», — пояснил руководитель разработки продуктов для безопасности промышленных систем Илья Косынкин.

Новая функциональность уже доступна пользователям PT ISIM proView Sensor после обновления продукта до версии 5.8.

В апреле мы рассматривали функциональные возможности PT ISIM 5.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Google закрыла критические дыры в Android, две уже фигурируют в атаках
Новость
Google закрыла критические дыры в Android, две уже фигурирую...
В октябре стартует CyberCamp 2025, ключевая тема — киберустойчивость
Новость
В октябре стартует CyberCamp 2025, ключевая тема — киберусто...
Мошенники используют благотворительные фонды для обмана инвесторов
Новость
Мошенники используют благотворительные фонды для обмана инве...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.