Egy új kampány célba veszi a sérülékeny Docker rendszereket, ahol a támadók XMRig kriptovaluta bányász programot és a 9Hits Viewer alkalmazást telepítik, mint egy összetett monetizációs stratégia elemeit.

„A 9Hits alkalmazás kártékony szoftverként történő telepítése először dokumentálódott így,” jelentette ki a Cado, egy felhőbiztonsággal foglalkozó vállalat, kiegészítve, hogy ez a tendencia azt mutatja, az ellenséges szereplők szüntelenül keresik az új módszereket a sérült hosztokból történő pénzszerzésre.

A 9Hits saját magát mint „innovatív webforgalom-megoldást” és „automatizált forgalomcsere-szolgáltatást” mutatja be, ami lehetőséget biztosít a felhasználóknak weboldalaik látogatottságának növelésére kreditvásárlás révén.
Ezt a 9Hits Viewer nevű szoftverrel valósítják meg, amely egy fej nélküli Chrome böngészővel látogatja meg azokat a weboldalakat, amiket a többi felhasználó kér, cserébe krediteket szerezve weboldaluk forgalmának növeléséhez.

A sérülékeny Docker hosztokra elterjedő rosszindulatú szoftver terjesztésének pontos módja egyelőre homályos, azonban valószínűsítik, hogy a Shodanhoz hasonló keresőmotorokat használnak potenciális célpontok felkutatására.

Ezután a támadók behatolnak a szerverekre, hogy két kártékony konténert helyezzenek el a Docker API segítségével, valamint előre elkészített képeket töltessenek le a Docker Hub könyvtárából a 9Hits és az XMRig szoftverek számára.

„Ez egy bevett támadási módszer a Dockerhez kapcsolódó kampányok esetén, amikor nem egyedileg készített képet, hanem általánosan elérhetőt tölt le a Dockerhub-ról, amit aztán a saját céljaikra használnak,” magyarázta Nate Bill, egy biztonsági szakértő.

A 9Hits konténert ezután felhasználják a támadó kreditjeinek generálására: a 9Hits rendszerével történő azonosítás során a munkamenet-tokenjüket használják fel, és kinyerik a meglátogatandó weboldalak listáját.

A támadók úgy állították be a rendszert, hogy felnőtt tartalmú vagy felugró ablakokat tartalmazó oldalakat keressenek fel, azonban tiltották a kriptovalutákkal kapcsolatos weboldalak látogatását.
A másik konténerben egy XMRig bányászprogramot futtatnak, amely egy privát bányászcsoporttal kapcsolódik, így a kampány mérete és nyereségessége meghatározhatatlan marad.

„A támadás elsősorban a megtámadott hosztok erőforrásainak kimerülésével jár, mivel az XMRig bányászprogram minden rendelkezésre álló CPU-kapacitást felhasznál, míg a 9hits jelentős sávszélességet, memóriát és a maradék CPU-kapacitást is igénybe veszi,” mondta Bill.

„Ennek következtében a fertőzött szervereken futó hiteles munkafolyamatok nem tudnak megfelelően működni. Továbbá a kampány frissíthető, hogy távoli shellt hagyjon a rendszeren, ami súlyosabb behatoláshoz vezethet.”

Forrás:https://thehackernews.com