Боты Xanthe проникают на Linux через плохо настроенные Docker API

Татьяна Никитина 03 Декабря 2020 - 08:53

...

Боты Xanthe проникают на Linux через плохо настроенные Docker API

Обнаружен новый Linux-ботнет, построенный на серверах Docker. Анализ показал, что лежащий в его основе вредонос с кодовым именем Xanthe распространяется в основном через Docker API, которые из-за неправильной конфигурации оказались доступны из интернета и плохо защищены.

По данным Cisco Talos, новоявленный ботнет активен уже больше полугода. В настоящее время он используется для добычи Monero за счет чужих мощностей и с этой целью загружает на серверы вариант криптомайнера XMRig.

Скриптовый зловред, на котором основан Xanthe, имеет модульную структуру. Основной компонент xanthe.sh, название которого эксперты используют для идентификации бот-сети, загружается с помощью скрипта pop.sh. После запуска xanthe.sh скачивает еще четыре модуля, в том числе XMRig с конфигурационным файлом в формате JSON.

Остальные вспомогательные модули выполняют защитные функции:

libprocesshider.so скрывает процессы бота;
шелл-скрипт xesa.txt отключает сторонние майнеры и службы безопасности;
шелл-скрипт fczyo завершает процессы Docker-контейнеров конкурирующих троянских программ и создает новых пользователей sysall, system, logger и autoupdater, чтобы обеспечить возможность выполнения команд с привилегиями администратора.

Основной скрипт Xanthe также отвечает за распространение инфекции на другие компьютеры в локальных и удаленных сетях. С этой целью он ослабляет защиту SSH-демона и крадет сертификаты на стороне клиента, чтобы с их помощью авторизоваться на удаленных хостах и запустить команду на загрузку своей копии.

Поиск через Shodan, проведенный исследователями, выявил более 6 тыс. уязвимых серверов Docker — в основном в США, Китае, Ирландии, Японии и Южной Корее. К сожалению, выбрать правильные настройки для Docker API не так уж просто, и соответствующий демон зачастую оказывается открытым для злоупотреблений. Хакеры прекрасно это знают и не упускают случая воспользоваться такой возможностью. В частности, Docker-серверы часто избирает мишенью криминальная группа TeamTNT.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 15 Августа 2025 - 12:27

Мошенничество Онлайн-мошенничество Домашние пользователи BI.ZONE F6

Инвестиции лидируют среди схем мошенников

В России, по данным МВД, среди наиболее распространённых схем обмана лидирующие позиции занимает инвестиционное мошенничество. Этот вид преступлений, как отмечают в ведомстве, активно вытесняет другие способы обмана и становится одним из главных инструментов злоумышленников для выманивания денег и личных данных у граждан.

Материалы МВД оказались в распоряжении РИА Новости. Согласно им, инвестиционное мошенничество вышло в лидеры среди схем, используемых аферистами.

Преступники ищут жертв в мессенджерах и тематических интернет-группах. Завоевав доверие, они предлагают попробовать себя в роли трейдера.

По данным компании F6, ещё в 2024 году активность инвестиционных мошенников в соцсетях и на видеохостингах выросла почти в 40 раз. Помимо этого, они используют обзвоны, а также умело играют на новостном фоне и публикуют вымышленные «личные истории» на различных площадках.

В первой половине 2025 года аналитики BI.ZONE зафиксировали более 1500 доменов, задействованных в инвестиционных схемах. На этих ресурсах размещались детально проработанные подделки официальных торговых платформ.

«Для убедительности мошенники могут позволить вам вывести несколько тысяч рублей. Однако всё это — фейк», — предупреждают в МВД.

На подобных сайтах часто публикуются многочисленные положительные отзывы от мнимых «клиентов», якобы уже получивших выплаты. При этом аферисты не ограничиваются кражей денег: они также собирают персональные данные или навязывают установку вредоносных программ.

Боты Xanthe проникают на Linux через плохо настроенные Docker API

Читайте также