Крипточервь крадет данные пользователей Amazon

Специалисты по информационной безопасности из Cado Security обнаружили криптовалютного червя, который не только заражает устройства вредоносными программами для майнинга цифровых монет, но также ищет в интернете неправильно сконфигурированные или незащищенные платформы Docker и Kubernetes, и крадет учетные данные AWS. Ранее редакция BeInCrypto сообщала о том, что хакеры заразили 10 суперкомпьютеров в Европе и майнили на них Monero.

Как это работает

Сервисы Docker позволяют разработчикам создавать приложения и модули, не привязанные к определенной операционной системе, и не требующие наличия на ней всех библиотек. Они пакуют приложения в виртуальные контейнеры, которые могут выполняться в изолированной Unix-среде. Обнаружив незащищенные хранилища, злоумышленники разворачивают на них новые контейнеры и загружают скрипты, необходимые для дальнейшей атаки. Если зараженные платформы Docker или Kubernetes работают на инфраструктуре AWS, вирус начинает поиск файлов с учетными данными и информацией о конфигурации аккаунта.

Кто злодей

За созданием червя стоит относительно молодая хакерская группировка TeamTNT, которая специализируется на создании и распространении вредоносных программ для DDoS-атак и майнинга криптовалюты. По словам экспертов британской Cado Security, компании все чаще переводят свои вычислительные мощности в облако и используют виртуальные контейнеры. Хакеры ориентируются на этот тренд и используют уязвимости новых технологий.

Клонированный червь

Большинство криптовалютных червей, предназначенных для скрытого майнинга, представляют собой разновидность других вирусов. Авторы просто копируют вредоносный код своих конкурентов и немного его дорабатывают под свои задачи. Так червь, созданный TeamTNT, содержит код, заимствованный у другого червя под названием Kinsing, который блокирует защиту Alibaba Cloud. Экспертам не удалось выяснить, как хакеры используют похищенные учетные данные, при этом они смогли обнаружить два кошелька Monero, связанных с группировкой. На них находится около 3 XMR, а это значит, что по текущему курсу злоумышленники заработали около 300 долларов. Однако следует помнить, что майнеры зачастую используют множество кошельков, чтобы замести следы.