Хакерская группа WatchDog проводит новую кампанию криптоджекинга с передовыми методами вторжения, червеобразного распространения и обхода программ безопасности.
Группа хакеров нацелена на открытые конечные точки API Docker Engine и серверы Redis и может быстро переключиться с одной скомпрометированной машины на всю сеть.
Цель злоумышленников — получение прибыли за счет майнинга криптовалюты с использованием доступных вычислительных ресурсов слабозащищенных серверов.
Исследователи из Cado Labs обнаружили новую хакерскую кампанию, проанализировав характерную тактику злоумышленников, и уверены в том, что они связаны с WatchDog.
WatchDog запускает атаки, компрометируя неправильно настроенные конечные точки API Docker Engine с открытым портом, предоставляя им доступ с настройками по умолчанию.
Оттуда WatchDog может просматривать или изменять контейнеры и запускать на них произвольные команды. Первый сценарий, запускаемый хакерами, называется «cronb.sh», который проверяет статус заражения хоста, составляет список процессов и извлекает полезную нагрузку второго этапа, «ar.sh».
