Случайно оставили порт открытым? Поздравляем, теперь вы спонсируете чью-то криптоферму
NewsMakerЛогов почти нет, а ущерб уже начинает напоминать дивиденды.
Специалисты по информационной безопасности обнаружили новую волну атак с целью скрытого майнинга криптовалюты на публично доступных серверах DevOps. В центре внимания оказались сервисы Docker, Gitea, а также продукты HashiCorp Consul и Nomad, которые используются для автоматизации и управления инфраструктурой.
По данным компании Wiz, фиксирующей активность под именем JINX-0132, злоумышленники активно эксплуатируют как уязвимости, так и неверные настройки — через них они внедряют вредоносные программы для майнинга.
Особый интерес вызвало то, что впервые было зафиксировано использование ошибочных настроек Nomad как точки входа для атаки. В отличие от обычной схемы, нападающие загружают необходимые инструменты напрямую с репозиториев на GitHub, что затрудняет отслеживание их инфраструктуры и происхождения атак. Использование легкодоступных инструментов позволяет маскировать истинные источники угроз.
Злоумышленники взламывают серверы Nomad, управляющие сотнями клиентов, что означает возможность использования крупных вычислительных мощностей. Оценочно, такие ресурсы обошлись бы в десятки тысяч долларов ежемесячно, если бы речь шла о честной аренде облачных серверов. Подобные инциденты подчёркивают, насколько соблазнительна эксплуатация публичных DevOps-сервисов для майнинга, где мощность практически неограниченна.
Известно, что API Docker уже давно является излюбленным объектом для атак на инфраструктуру, позволяя запускать вредоносные контейнеры и даже монтировать файловую систему хоста. В мае специалисты из «Лаборатории Касперского» сообщили о масштабных атаках на незащищённые Docker-инстансы, которые используют для создания ботнетов для майнинга криптовалюты.
Уязвимости и неверные настройки обнаружены и в Gitea, популярном open-source решении для размещения Git-репозиториев. Если злоумышленник получает доступ к аккаунту с правами на создание git hooks или если сервер работает на версии 1.4.0 либо установка осталась открытой (INSTALL_LOCK=false), возможно удалённое выполнение кода.
Consul также опасен при ошибочных настройках, поскольку любой пользователь с удалённым доступом способен регистрировать сервисы и назначать проверки состояния, которые на деле представляют собой запуск произвольных bash-команд.
В ходе кампании JINX-0132 были добавлены вредоносные проверки, маскирующиеся под легитимные сервисы, но фактически скачивающие и запускающие XMRig — популярную программу для майнинга Monero.
Подобная схема эксплуатируется и для атак на Nomad. Если публично доступный сервер Nomad не защищён надёжным конфигом, злоумышленник может создавать задачи, которые автоматически загружают с GitHub и запускают тот же майнер XMRig. Причина в том, что серверная часть Nomad по умолчанию предоставляет слишком широкие возможности для удалённого управления, по сути открывая двери для удалённого выполнения кода на всех связанных узлах.
Согласно данным Shodan, по всему миру обнаружено более 5300 открытых серверов Consul и более 400 Nomad, большая часть из которых расположена в Китае, США, Германии, Сингапуре, Финляндии, Нидерландах и Великобритании.
Параллельно с этим специалисты Sysdig зафиксировали другую кампанию, где атакующие использовали неправильно настроенный сервер Open WebUI, чтобы внедрить вредоносный Python-скрипт для майнинга на Linux и Windows. Система позволяла загружать и исполнять сторонние скрипты, что моментально было замечено злоумышленниками. Их скрипт скачивал и запускал майнеры T-Rex и XMRig, а также создавал системные службы для закрепления в системе. Для сокрытия работы использовались библиотеки processhider и argvhider.
В версиях для Windows дополнительно загружался Java Development Kit для запуска вредоносного JAR-файла с отдельного сервера. Этот файл выполнял загрузку ещё одного модуля, который в итоге похищал учётные данные из Discord и криптовалютных кошельков в Google Chrome.
По данным Sysdig, в интернете открыто более 17 000 инстансов Open WebUI, но точное количество реально уязвимых систем пока неизвестно. Эксперты отмечают, что ошибочные настройки публичных систем по-прежнему остаются одной из главных причин крупных компрометаций, а майнеры — только вершина айсберга. В случае с Windows применяются более сложные методы маскировки и кражи данных, что делает угрозу особенно актуальной для компаний с гибридной или облачной инфраструктурой.
Специалисты по информационной безопасности обнаружили новую волну атак с целью скрытого майнинга криптовалюты на публично доступных серверах DevOps. В центре внимания оказались сервисы Docker, Gitea, а также продукты HashiCorp Consul и Nomad, которые используются для автоматизации и управления инфраструктурой.
По данным компании Wiz, фиксирующей активность под именем JINX-0132, злоумышленники активно эксплуатируют как уязвимости, так и неверные настройки — через них они внедряют вредоносные программы для майнинга.
Особый интерес вызвало то, что впервые было зафиксировано использование ошибочных настроек Nomad как точки входа для атаки. В отличие от обычной схемы, нападающие загружают необходимые инструменты напрямую с репозиториев на GitHub, что затрудняет отслеживание их инфраструктуры и происхождения атак. Использование легкодоступных инструментов позволяет маскировать истинные источники угроз.
Злоумышленники взламывают серверы Nomad, управляющие сотнями клиентов, что означает возможность использования крупных вычислительных мощностей. Оценочно, такие ресурсы обошлись бы в десятки тысяч долларов ежемесячно, если бы речь шла о честной аренде облачных серверов. Подобные инциденты подчёркивают, насколько соблазнительна эксплуатация публичных DevOps-сервисов для майнинга, где мощность практически неограниченна.
Известно, что API Docker уже давно является излюбленным объектом для атак на инфраструктуру, позволяя запускать вредоносные контейнеры и даже монтировать файловую систему хоста. В мае специалисты из «Лаборатории Касперского» сообщили о масштабных атаках на незащищённые Docker-инстансы, которые используют для создания ботнетов для майнинга криптовалюты.
Уязвимости и неверные настройки обнаружены и в Gitea, популярном open-source решении для размещения Git-репозиториев. Если злоумышленник получает доступ к аккаунту с правами на создание git hooks или если сервер работает на версии 1.4.0 либо установка осталась открытой (INSTALL_LOCK=false), возможно удалённое выполнение кода.
Consul также опасен при ошибочных настройках, поскольку любой пользователь с удалённым доступом способен регистрировать сервисы и назначать проверки состояния, которые на деле представляют собой запуск произвольных bash-команд.
В ходе кампании JINX-0132 были добавлены вредоносные проверки, маскирующиеся под легитимные сервисы, но фактически скачивающие и запускающие XMRig — популярную программу для майнинга Monero.
Подобная схема эксплуатируется и для атак на Nomad. Если публично доступный сервер Nomad не защищён надёжным конфигом, злоумышленник может создавать задачи, которые автоматически загружают с GitHub и запускают тот же майнер XMRig. Причина в том, что серверная часть Nomad по умолчанию предоставляет слишком широкие возможности для удалённого управления, по сути открывая двери для удалённого выполнения кода на всех связанных узлах.
Согласно данным Shodan, по всему миру обнаружено более 5300 открытых серверов Consul и более 400 Nomad, большая часть из которых расположена в Китае, США, Германии, Сингапуре, Финляндии, Нидерландах и Великобритании.
Параллельно с этим специалисты Sysdig зафиксировали другую кампанию, где атакующие использовали неправильно настроенный сервер Open WebUI, чтобы внедрить вредоносный Python-скрипт для майнинга на Linux и Windows. Система позволяла загружать и исполнять сторонние скрипты, что моментально было замечено злоумышленниками. Их скрипт скачивал и запускал майнеры T-Rex и XMRig, а также создавал системные службы для закрепления в системе. Для сокрытия работы использовались библиотеки processhider и argvhider.
В версиях для Windows дополнительно загружался Java Development Kit для запуска вредоносного JAR-файла с отдельного сервера. Этот файл выполнял загрузку ещё одного модуля, который в итоге похищал учётные данные из Discord и криптовалютных кошельков в Google Chrome.
По данным Sysdig, в интернете открыто более 17 000 инстансов Open WebUI, но точное количество реально уязвимых систем пока неизвестно. Эксперты отмечают, что ошибочные настройки публичных систем по-прежнему остаются одной из главных причин крупных компрометаций, а майнеры — только вершина айсберга. В случае с Windows применяются более сложные методы маскировки и кражи данных, что делает угрозу особенно актуальной для компаний с гибридной или облачной инфраструктурой.