Криптоджекерам не дают покоя уязвимые серверы WebLogic и Docker API
Главная » Новости

Криптоджекерам не дают покоя уязвимые серверы WebLogic и Docker API

Татьяна Никитина 16 Сентября 2022 - 19:40
...
Криптоджекерам не дают покоя уязвимые серверы WebLogic и Docker API

Эксперты Trend Micro и Aqua Security зафиксировали новые атаки на Linux-серверы с целью скрытной добычи криптовалюты. Ботоводы Kinsing ищут непропатченный софт Oracle WebLogic Server, а кто-то, похожий на сгинувшую TeamTNT, — ошибки в настройках Docker-демона.

В ходе атак на WebLogic операторы ботнета Kinsing проводят сканирование на наличие уязвимостей, как недавних, так и более старых. Из последних злоумышленники наиболее часто ищут RCE двухлетней давности — CVE-2020-14882.

В случае успешной отработки эксплойта на сервер устанавливается шелл-скрипт, работающий как промежуточный загрузчик. Этот стейджер вначале готовит почву для криптоджекинга: повышает лимит расхода ресурсов (с помощью команды ulimit), удаляет журнал /var/log/syslog, отключает защиту вроде SELinux и агенты облачных служб Alibaba и Tencent, прибивает процессы сторонних майнеров.

После всех этих непрошеных действий на машину загружается (с удаленного сервера) вредонос Kinsing. Чтобы обеспечить ему постоянное присутствие, шелл-скрипт создает новое задание cron.

 

Атаки, зафиксированные на ловушках Aqua Security, различны, но по стилю и используемым инструментам напоминают вылазки TeamTNT. (В ноябре прошлого года эта криминальная группа свернула свои операции.)

Особенно заинтересовала аналитиков атака, нацеленная, судя по всему, на использование чужих мощностей для взлома алгоритма на эллиптических кривых (ECDLP secp256k1); успех в этом случае позволит получить ключи от любого криптокошелька. Хакеры ищут плохо сконфигурированные Docker-демоны, чтобы развернуть alpine — стандартный образ контейнера, который затем используется для загрузки на C2 шелл-скрипта в режиме командной строки.

 

Задачи других атак более прозаичны. В одном случае злоумышленники ищут уязвимые серверы Redis, чтобы установить майнер, в другом — Docker API, пригодные для внедрения бэкдора Tsunami.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Сеть утекли 184 млн логинов — в том числе Apple, Google и PayPal
Екатерина Быстрова 22 Мая 2025 - 17:34
Утечки информацииУмышленные утечки информацииКража данных Домашние пользователиКорпорации AppleGoogleMicrosoft
В Сеть утекли 184 млн логинов — в том числе Apple, Google и PayPal

На одном из веб-серверов обнаружили огромную базу данных с 184 миллионами учётных записей — без пароля, без шифрования, просто открытый доступ для всех желающих. Среди логинов — Apple, Google, Microsoft, PayPal и многие другие.

Об этом сообщил исследователь безопасности Джеремайя Фаулер, который первым наткнулся на этот клад. Он назвал находку «рабочим списком мечты для киберпреступников» — и, судя по всему, это совсем не преувеличение.

Что внутри

В базе — 47,42 ГБ данных. Имейлы, логины, пароли, ссылки на страницы входа в аккаунты, данные банков, госпорталов, медицинских сервисов и популярных приложений. Apple ID — в списке. Другими словами, потенциально уязвимы миллионы пользователей по всему миру.

Среди известных сервисов в базе числятся:

  • Apple.
  • Google.
  • Microsoft.
  • Amazon.
  • PayPal.
  • Instagram (признан экстремистским и запрещён в России, как и корпорация Meta).
  • Facebook (признан экстремистским и запрещён в России, как и корпорация Meta).
  • X.
  • Discord.
  • Snapchat.
  • Yahoo.
  • WordPress.

И это только то, что успели проверить — база настолько большая, что исследователь ещё не успел изучить её полностью.

Откуда всё это?

Фаулер считает, что утечка — результат работы инфостилеров. Это вредоносные программы, которые крадут данные с заражённых устройств: логины, пароли, куки, данные автозаполнения, криптокошельки, иногда — даже скриншоты и нажатия клавиш.

Чаще всего такие вирусы попадают на устройства через фишинговые письма или пиратский софт.

Почему это опасно

Одна из главных угроз — доступ к почте. Если злоумышленник попадает, например, в Gmail, он может получить всё: от сканов паспортов до налоговых деклараций и конфиденциальной переписки за много лет. Люди часто хранят в почте кучу личных документов — и забывают, насколько это уязвимо.

Фаулер, как этичный исследователь, сам базу не скачивал, а ограничился скриншотами и выборочной проверкой. Он связался с хостинг-компанией, где лежала база, и её закрыли. Но кто её туда выложил — до сих пор неизвестно.

Что делать? Проверьте, что у вас нет старых писем с важными данными, и удалите всё лишнее из почты. А ещё — меняйте пароли и не используйте один и тот же везде, особенно без двухфакторной аутентификации.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Майское обновление Telegram развязало руки злоумышленникам
Новость
Майское обновление Telegram развязало руки злоумышленникам
Атак с использованием дипфейков стало больше, а выявлять их все сложнее
Новость
Атак с использованием дипфейков стало больше, а выявлять их...
МСофт и Сайберпик объединяют усилия для защиты чувствительной информации
Новость
МСофт и Сайберпик объединяют усилия для защиты чувствительно...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.