- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 6ч 10м
- Сделки
- 251
- Нарушения
- 0 / 0
Эксперты назвали кампанию «Kiss-a-dog», поскольку ее инфраструктура управления и контроля (C&C) пересекается с инфраструктурой группировки TeamTNT , которая атакует неправильно настроенные экземпляры Docker и Kubernetes.
Вторжения, обнаруженные в сентябре 2022 года, получили свое название от домена с именем «kiss.a-dog[.]top», который используется для запуска полезной нагрузки сценария оболочки на скомпрометированном контейнере с помощью команды Python в кодировке Base64.
«URL-адрес, используемый в полезной нагрузке, скрыт обратной косой чертой для обхода автоматического декодирования, а сопоставление регулярных выражений извлекает вредоносный домен», — сказал исследователь CrowdStrike Манодж Ахудже в техническом анализе.
В конечном итоге хакеры выходят из контейнера и перемещаются во взломанную сеть, одновременно завершая и удаляя облачные службы мониторинга.
Для уклонения от обнаружения и скрытия вредоносных процессов кампания использует руткиты Diamorphine и libprocesshide . При этом libprocesshide скомпилирован в виде разделяемой библиотеки, что позволяет злоумышленникам внедрять вредоносные общие библиотеки в каждый процесс, созданный в скомпрометированном контейнере.
Конечная цель кампании — скрытая добыча криптовалюты с использованием ПО для майнинга XMRig, а также эксплуатация уязвимых экземпляров Redis и Docker для майнинга и других последующих атак.