Криптоджекерам не дают покоя уязвимые серверы WebLogic и Docker API

Татьяна Никитина 16 Сентября 2022 - 19:40

...

Эксперты Trend Micro и Aqua Security зафиксировали новые атаки на Linux-серверы с целью скрытной добычи криптовалюты. Ботоводы Kinsing ищут непропатченный софт Oracle WebLogic Server, а кто-то, похожий на сгинувшую TeamTNT, — ошибки в настройках Docker-демона.

В ходе атак на WebLogic операторы ботнета Kinsing проводят сканирование на наличие уязвимостей, как недавних, так и более старых. Из последних злоумышленники наиболее часто ищут RCE двухлетней давности — CVE-2020-14882.

В случае успешной отработки эксплойта на сервер устанавливается шелл-скрипт, работающий как промежуточный загрузчик. Этот стейджер вначале готовит почву для криптоджекинга: повышает лимит расхода ресурсов (с помощью команды ulimit), удаляет журнал /var/log/syslog, отключает защиту вроде SELinux и агенты облачных служб Alibaba и Tencent, прибивает процессы сторонних майнеров.

После всех этих непрошеных действий на машину загружается (с удаленного сервера) вредонос Kinsing. Чтобы обеспечить ему постоянное присутствие, шелл-скрипт создает новое задание cron.

Атаки, зафиксированные на ловушках Aqua Security, различны, но по стилю и используемым инструментам напоминают вылазки TeamTNT. (В ноябре прошлого года эта криминальная группа свернула свои операции.)

Особенно заинтересовала аналитиков атака, нацеленная, судя по всему, на использование чужих мощностей для взлома алгоритма на эллиптических кривых (ECDLP secp256k1); успех в этом случае позволит получить ключи от любого криптокошелька. Хакеры ищут плохо сконфигурированные Docker-демоны, чтобы развернуть alpine — стандартный образ контейнера, который затем используется для загрузки на C2 шелл-скрипта в режиме командной строки.

Задачи других атак более прозаичны. В одном случае злоумышленники ищут уязвимые серверы Redis, чтобы установить майнер, в другом — Docker API, пригодные для внедрения бэкдора Tsunami.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 07 Октября 2025 - 18:56

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи Малый и средний бизнес

Мошенники маскируются под налоговую службу и крадут аккаунты Госуслуг

На фоне массовых рассылок уведомлений и напоминаний об уплате налогов перед 1 декабря активизировались злоумышленники, выдающие себя за сотрудников налоговых органов. Их цель — получить доступ к аккаунтам на Госуслугах и завладеть персональными данными граждан.

Как сообщает телеграм-канал «Лапша-медиа», в своих схемах мошенники используют разные поводы для контакта с жертвами:

неуплаченные налоги;
налоговые задолженности;
непредоставление документов;
необходимость подачи декларации.

Связаться с потенциальными жертвами аферисты могут через мессенджеры или электронную почту. Они представляются инспекторами и предлагают записаться на приём в налоговую или лично явиться для «решения проблемы».

Главная цель злоумышленников — получить одноразовые коды для входа на Госуслуги или авторизации в других сервисах, включая онлайн-банки. В некоторых случаях мошенники убеждают перейти по вредоносной ссылке или установить приложение.

Иногда жертвам отправляют ссылку для «заполнения налоговой декларации». На деле она ведёт на фишинговый сайт, куда введённые данные попадают напрямую к злоумышленникам.

В «Лапша-медиа» напоминают: официальные органы, включая налоговую службу, никогда не просят сообщать коды авторизации и не предлагают устанавливать приложения по ссылке. Проверить информацию можно только на Госуслугах, на официальном сайте ФНС или по телефону горячей линии 8-800-222-22-22.

Похожие схемы мошенники использовали весной, когда поводом для обращения служили «налоговые вычеты».