#ParsedReport #CompletenessLow
18-01-2024

Security Brief: TA866 Returns with a Large Email Campaign

https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta866-returns-large-email-campaign

Report completeness: Low

Actors/Campaigns:
Ta866 (motivation: financially_motivated, cyber_criminal, cyber_espionage)
Ta571 (motivation: cyber_criminal)

Threats:
Wasabiseed
Rhadamanthys

Victims:
Various north american organisations

Geo:
America

ChatGPT TTPs:
do not use without manual check
T1193, T1204, T1064, T1105, T1053

IOCs:
File: 5
Url: 4
Hash: 7

Soft:
IrfanView, anView

Algorithms:
sha256

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что компания Proofpoint, занимающаяся кибербезопасностью, обнаружила значительную кампанию угроз по электронной почте, нацеленную на Северную Америку. В кампании идентифицированы два участника угроз, TA571 и TA866. TA571 отвечает за распространение вредоносных PDF-файлов через спам-рассылки, в то время как TA866 участвует в действиях по постэксплуатации с использованием JavaScript и MSI-файлов. Кампания финансово мотивирована и указывает на то, что TA866 является организованным субъектом, способным проводить хорошо спланированные масштабные атаки. Цепочка атак эволюционировала с появлением новых PDF-вложений, что говорит о том, что злоумышленник постоянно адаптирует свою тактику.
-----

11 января 2024 года компания по кибербезопасности Proofpoint обнаружила значительную кампанию угроз по электронной почте, нацеленную на Северную Америку, которую они приписали двум субъектам угроз: TA571 и TA866. В кампании использовались электронные письма на тему счетов-фактур с вложениями в формате PDF, которые содержали URL-адреса OneDrive. Эти URL-адреса инициировали многоэтапную цепочку заражения, включающую выполнение JavaScript и MSI-файлов. Вредоносная программа представляла собой вариант пользовательского набора инструментов WasabiSeed и Screenshotter.

TA571, идентифицированный как распространитель спама, отвечал за доставку вредоносных PDF-файлов. Они известны тем, что проводят массовые кампании рассылки спама по электронной почте с целью распространения различных типов вредоносных программ среди своих клиентов-киберпреступников. С другой стороны, TA866, участник, стоящий за действиями после эксплуатации, был связан с файлами JavaScript и MSI, в частности с компонентами, относящимися к WasabiSeed и Screenshotter. Предыдущие случаи деятельности TA866 указывали на причастность как к преступному ПО, так и к кибершпионажу.

Считается, что текущая кампания мотивирована финансово, что позволяет предположить, что TA866 является организованным субъектом, способным проводить хорошо спланированные масштабные атаки. Proofpoint связывает эту оценку с доступностью пользовательских инструментов, используемых TA866, а также с их способностью приобретать дополнительные инструменты и услуги у других участников.

Стоит отметить, что кампании по электронной почте TA866 отсутствовали в списке угроз более девяти месяцев; однако есть признаки того, что в течение этого периода злоумышленник, возможно, использовал альтернативные методы распространения. Эта недавняя кампания совпадает с возвращением других участников угроз, которые обычно берут перерыв во время новогодних каникул, что приводит к повышению активности в общем ландшафте угроз.

Кампания была направлена на предоставление полезной нагрузки WasabiSeed downloader и Screenshotter. Однако остается неизвестным, какую последующую полезную нагрузку установит TA866, если они будут удовлетворены скриншотами, полученными с помощью Screenshotter. В предыдущих кампаниях с участием TA866 использовались AHK-бот и Rhadamanthys Stealer.

Эволюция цепочки атак, такая как внедрение новых PDF-вложений, является еще одним примечательным аспектом возвращения TA866 к угрозам по электронной почте. Это говорит о том, что злоумышленник постоянно адаптирует свою тактику для максимальной эффективности своих кампаний.

#ParsedReport #CompletenessLow
12-01-2024

Python s Poisoned Package: Another Blank Grabber Malware in PyPI

https://www.imperva.com/blog/blank-grabber-malware-in-pypi-package

Report completeness: Low

Actors/Campaigns:
Dropping_elephant

Threats:
Blankgrabber
Supply_chain_technique

Victims:
Users downloading from python package index (pypi)

ChatGPT TTPs:
do not use without manual check
T1195, T1204, T1213, T1048

IOCs:
File: 3
Domain: 1
Hash: 11

Soft:
Discord, roblox

Languages:
powershell, python

Links:
https://github.com/searxng/searxng

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Команда исследователей угроз Imperva обнаружила вредоносный пакет под названием sellpass-sdk в индексе пакетов Python (PyPI). Пакет содержал вредоносную программу infostealer Blank-Grabber и был быстро удален командой PyPI после получения сообщения. Вредоносная программа маскировалась под легальный пакет и использовала такие тактики, как имитация имени автора, чтобы обмануть пользователей. Пакет был размещен на подозрительном домене и использовал команду PowerShell для загрузки и запуска вредоносного ПО. Этот инцидент подчеркивает необходимость бдительности среди пользователей Python и роль сопровождающих репозитория в обнаружении таких вредоносных действий и сообщении о них. Решение Imperva для самозащиты приложений во время выполнения (RASP) обеспечивает защиту от подобных атак в цепочке поставок.
-----

Недавно Imperva Threat Research обнаружила вредоносный пакет в индексе пакетов Python (PyPI) под названием sellpass-sdk. Этот пакет был частью серии фиктивных вредоносных пакетов, которые, вероятно, были опубликованы в качестве тестов одним и тем же автором. Пакет sellpass-sdk распространял вредоносное ПО Blank-Grabber infostealer, которое крало данные жертвы и извлекало их через определенную ссылку Discord Canary. К счастью, после получения сообщения команда PyPI быстро удалила пакет.

Пакет sellpass-sdk был добавлен в репозиторий PyPI 27 декабря 2023 года и оставался там до 8 января, когда он был удален после публикации отчета. Пакет был разработан так, чтобы маскироваться под законный пакет с именем sellpass, который служит оболочкой Python для API Sellpass.io. Автор использовал различные тактики, чтобы воспользоваться доверием потенциальных пользователей.

Одной из использованных тактик было подражание имени автора. Слегка изменив имя автора с "xyss" на "xyss2", злоумышленник стремился создать иллюзию легитимности. Это изменение могло легко остаться незамеченным, особенно пользователями, которые не знакомы с первоначальным автором, или теми, кто не уделяет пристального внимания деталям. Эта тактика использовала существующее доверие, установленное первоначальным автором.

Пакет был размещен в домене o5.gg, менее распространенном и дешевом домене верхнего уровня, часто используемом злоумышленниками. Домен был зарегистрирован за день до загрузки вредоносного пакета. Само вредоносное ПО было размещено за маршрутом статического ресурса в поисковой системе под названием SearXNG. Для загрузки и выполнения двоичного файла использовалась команда PowerShell. Программа infostealer с именем python.exe была размещена на вредоносном домене в папке themes. Когда пакет был загружен и установлен, компьютер жертвы был заражен программой Blank-Grabber info stealer. Эта вредоносная программа отфильтровывала данные и отправляла их по определенной ссылке Discord Canary. Статический анализ подтвердил, что вредоносная программа является версией похитителя информации Blank-Grabber.

Важно отметить, что эта атака подчеркивает необходимость бдительности среди пользователей сообщества Python. Пользователям следует перепроверять имена пакетов, авторов и другие метаданные, особенно при работе над критически важными или конфиденциальными проектами. Кроме того, сопровождающие репозитория и сообщество играют жизненно важную роль в мониторинге и сообщении о таких вредоносных действиях для защиты экосистемы.

Клиенты Imperva RASP надежно защищены от такого типа атак в цепочке поставок. Решение Imperva для самозащиты приложений во время выполнения (RASP) блокирует неожиданное и потенциально вредоносное выполнение процессов, доступ к файлам и исходящие сетевые подключения в режиме реального времени, эффективно защищая от таких атак.

#ParsedReport #CompletenessLow
18-01-2024

Spreading Zephyr coin miner malware using Autoit

https://asec.ahnlab.com/ko/60432

Report completeness: Low

Threats:
Zephyrus_miner
Deathransom
Malware/mdp.inject.m2907

ChatGPT TTPs:
do not use without manual check
T1064, T1496, T1204, T1060, T1082

IOCs:
File: 11
Path: 1
Hash: 3

Algorithms:
md5, zip, base64

Languages:
autoit, javascript

Platforms:
x86, x64

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание процесса распространения и выполнения Zephyr coin miners, вредоносного файла, который заражает системы и использует их для майнинга криптовалюты Zephyr. Файл распространяется через сжатый файл под названием WINDOWS_PY_M3U_EXPLOIT_2024.7z и содержит CoinMiner. При распаковке он генерирует различные скрипты и исполняемые файлы. Монеты добываются с помощью исполняемого файла с именем Helper.exe, который копируется в каталог %USER%\AppData\Roaming\Microsoft\Windows в зависимости от архитектуры процессора системы. Информация о пуле майнинга и адресах кошельков, используемых в процессе, может быть доступна и просмотрена.
-----

Аналитический центр безопасности AhnLab (ASEC) сообщил о распространении майнеров Zephyr coin. Этот вредоносный файл, распространяемый через сжатый файл под названием WINDOWS_PY_M3U_EXPLOIT_2024.7z, создается с помощью Autoit и содержит CoinMiner. При распаковке файла он генерирует различные скрипты и исполняемые файлы.

Одним из файлов, включенных в дистрибутив, является ComboIptvExploit.exe, установочный файл NSIS. Внутри этого файла находятся два файла JavaScript: Explorer.js и internet.js. После выполнения файла ComboIptvExploit.exe два файла JavaScript создаются в пути %temp% и выполняются через wscript.exe.

Среди этих файлов JavaScript internet.js декодирует строку, закодированную внутри BASE64, и генерирует исполняемый файл. Этот исполняемый файл с именем x.exe хранится в %temp% path и записывается в Autoit. Скомпилированный файл сценария Autoit состоит из двух файлов: asacpiex.dll и CL_Debug_Log.txt. Эти файлы являются сжатыми и обычными 7za.exe файлами соответственно. Введя JDQJndnqwdnqw2139dn21n3b312idDQDB в качестве пароля, скомпилированный файл сценария автоматического запуска 64.exe можно распаковать. Результатом этого процесса является создание двух файлов, 32.exe, в пути %temp%.

Поведение зависит от архитектуры процессора системы. Если архитектура x86, файл 32.exe копируется. Однако, если архитектура x64, файл 64.exe копируется в %USER%\AppData\Roaming\Microsoft\Windows\Helper.exe. Скопированный Helper.exe выступает в качестве майнера монет для криптовалюты Zephyr. Извлеченный скрипт предоставляет информацию о пуле майнинга и адресах кошельков, используемых в процессе майнинга. Получив доступ к пулу майнинга и изучив кошелек, можно просмотреть недавнюю историю вывода средств.

Подведем итог процессу выполнения вредоносного ПО:.

Распространение файлов через WINDOWS_PY_M3U_EXPLOIT_2024.7z.

При распаковке файла генерируются скрипты и исполняемые файлы.

ComboIptvExploit.exe файл - это установочный файл NSIS.

Два файла JavaScript, Explorer.js и internet.js, создаются и выполняются с помощью wscript.exe.

internet.js декодирует строку в кодировке BASE64 для создания исполняемого файла Autoit, x.exe.

Скомпилированный файл сценария Autoit включает в себя asacpiex.dll (сжатый файл) и CL_Debug_Log.txt (обычный 7za.exe файл).

При распаковке 64.exe с паролем JDQJndnqwdnqw2139dn21n3b312idDQDB создаются два файла, 32.exe.

В зависимости от архитектуры процессора системы либо 32.exe, либо 64.exe копируется в %USER%\AppData\Roaming\Microsoft\Windows\Helper.exe.

Helper.exe выступает в качестве майнера криптовалютных монет Zephyr.

Можно получить доступ к информации о пуле майнинга и адресах кошельков, используемых в процессе майнинга, и просмотреть ее.

На приведенной ниже принципиальной схеме представлен обзор процесса выполнения вредоносного ПО.

#ParsedReport #CompletenessLow
18-01-2024

VenomRAT (AsyncRAT) is spread by impersonating a domestic IT company.

https://asec.ahnlab.com/ko/60555

Report completeness: Low

Threats:
Venomrat
Asyncrat
Trojan/lnk.runner
Trojan/html.agent.sc196238
Trojan/win.generic.c5572807
Trojan/win.generic.c5337844

ChatGPT TTPs:
do not use without manual check
T1192, T1005, T1083, T1059, T1064, T1060, T1036, T1027, T1140, T1204, have more...

IOCs:
File: 6
Path: 1
Url: 5
Command: 1
IP: 1
Hash: 5

Algorithms:
xor, md5, base64

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 6, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что была обнаружена новая киберугроза, связанная с использованием файлов быстрого доступа для загрузки и запуска вредоносного ПО под названием AsyncRAT или VenomRAT. Злоумышленники маскируют файлы быстрого доступа под сжатые файлы и объединяют их с обычными текстовыми документами, чтобы обманом заставить пользователей открыть их. После запуска вредоносная программа загружает дополнительные файлы, в том числе троян удаленного доступа (RAT) под названием VenomRAT. Эти атаки подчеркивают необходимость осторожности при открытии файлов документов и важность надежных мер кибербезопасности.
-----

Аналитический центр безопасности AhnLab (ASEC) обнаружил новую киберугрозу, связанную с использованием файлов быстрого доступа (.lnk) для загрузки вредоносного ПО под названием AsyncRAT, также известного как VenomRAT. Злоумышленники маскируют файл LNK под сжатый файл с именем survey.docx.lnk и объединяют его с обычным текстовым документом. Цель этой тактики - обманом заставить пользователей открыть файл, думая, что это безобидный документ Word.

Атака начинается со сжатого файла, содержащего текстовый документ и вредоносный LNK-файл. Внутри текстового документа есть фраза, которая побуждает пользователей запускать вредоносный LNK-файл. Когда файл LNK выполняется, он подключается к внешнему URL-адресу через mshta (Microsoft HTML Application Host) и выполняет дополнительный код скрипта. Рассматриваемый URL-адрес - hxxp://194.33.191 . 248:7287/docx1.hta, где можно найти запутанную строку.

Расшифровка этой строки показывает команду PowerShell, которая загружает дополнительные файлы, сохраняет их в папке %appdata% и выполняет их. Загруженный файл, qfqe.docx, выглядит как обычный документ Word, связанный с опросом, что затрудняет пользователям обнаружение происходящих вредоносных действий. Однако файл blues.exe, который сопровождает документ Word, представляет собой вредоносную программу типа загрузчика, замаскированную под сертификат отечественной ИТ-компании.

При выполнении blues.exe загружает дополнительный код скрипта через PowerShell. Другой файл с именем sys.ps1 запускается через blues.exe и является другой вредоносной программой типа загрузчика. Он загружает дополнительные данные из hxxp://194.33.191 . 248:7287/adb.dll и выполняет их в формате без файлов. Внутри adb.dll есть закодированный шелл-код, который расшифровывается с помощью операции XOR со строкой "sorootktools" в кодировке Base64. Конечным результатом этого процесса является запуск VenomRAT (AsyncRAT), вредоносной программы-трояна удаленного доступа (RAT), которая не только крадет информацию о ПК пользователя, но и выполняет кейлоггинг. Кроме того, эта КРЫСА способна выполнять различные вредоносные действия на основе команд, отправляемых злоумышленником.

Важно отметить, что эти вредоносные файлы быстрого доступа, замаскированные под обычные документы, часто распространяются. Расширение .lnk скрыто в имени файла, что позволяет пользователям легко принять их за законные файлы. Следовательно, пользователям необходимо проявлять осторожность при открытии любых файлов документов, особенно полученных из незнакомых источников или с подозрительными именами файлов. Эти типы атак напоминают нам о важности сохранения бдительности и внедрения надежных мер кибербезопасности для защиты от развивающихся угроз.

#ParsedReport #CompletenessLow
18-01-2024

Ivanti Connect Secure VPN Exploitation: New Observations

https://www.volexity.com/blog/2024/01/18/ivanti-connect-secure-vpn-exploitation-new-observations

Report completeness: Low

Actors/Campaigns:
Uta0178

Threats:
Xmrig_miner

Victims:
Various organizations using ivanti connect secure vpn appliances

Geo:
China

CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)


ChatGPT TTPs:
do not use without manual check
T1210, T1505, T1049, T1074, T1053, T1602, T1490, T1068, T1211

IOCs:
Hash: 2
Url: 5
Domain: 1
Coin: 2

Algorithms:
zip

Languages:
rust, python

Links:
https://github.com/volexity/threat-intel/blob/main/2024/2024-01-18%20Ivanti%20Connect%20Secure%20pt3/indicators/iocs.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Volexity сообщила о широко распространенной эксплуатации уязвимостей Ivanti Connect Secure VPN, в частности CVE-2024-21887 и CVE-2023-46805. Это привело к увеличению числа атак на уязвимые устройства и обнаружению более 2100 скомпрометированных устройств. Злоумышленники смогли получить эксплойты с помощью общедоступного кода проверки концепции, что привело к загрузке и выполнению вредоносного кода. Кроме того, злоумышленники украли данные конфигурации и попытались избежать обнаружения, изменив средство проверки целостности. Меры по смягчению последствий, применяемые организациями, иногда сводились на нет путем импорта предыдущих файлов конфигурации резервных копий.
-----

Краткое содержание:.

15 января 2024 года Volexity сообщила о широкомасштабном использовании уязвимостей Ivanti Connect Secure VPN. Идентифицированными уязвимостями были CVE-2024-21887 и CVE-2023-46805. В сообщении в блоге подчеркивалось, что злоумышленники использовали непубличные эксплойты для компрометации различных устройств. 16 января был обнародован код проверки концепции эксплойта, что привело к увеличению числа атак на устройства Ivanti Connect Secure VPN.

Расследование Volexity деятельности, проведенное конкретным субъектом угроз, UTA0178, выявило несколько важных выводов. Во-первых, они обнаружили веб-оболочку GIFTEDVISITOR, которая привела к идентификации более 1700 скомпрометированных устройств Ivanti Connect Secure VPN. Последующее сканирование выявило еще 368 скомпрометированных устройств, в результате чего общее количество превысило 2100. Во-вторых, они обнаружили, что UTA0178 внесла изменения во встроенный инструмент проверки целостности, благодаря чему он всегда сообщает об отсутствии новых или несоответствующих файлов, независимо от фактических результатов.

Кроме того, Volexity узнала о потенциальных проблемах, с которыми могут столкнуться организации при подключении к сети новых устройств Ivanti Connect Secure VPN. Эти проблемы могут сделать устройства уязвимыми для эксплуатации и могут способствовать увеличению числа скомпрометированных систем при последующих проверках.

Volexity обнаружила, что участники преступных угроз получили необходимые эксплойты с помощью общедоступного кода проверки концепции и начали широкомасштабные атаки на уязвимые устройства Ivanti Connect Secure VPN. Результатом этих атак была загрузка и выполнение вредоносного кода с URL-адресов, контролируемых злоумышленниками. Один наблюдаемый случай был связан с развертыванием криптовалютного майнера XMRig. Volexity также выявила несколько URL-адресов, используемых для загрузки полезной нагрузки на основе Rust, анализ которой все еще продолжается.

Помимо взломанных систем, Volexity обнаружила, что злоумышленники крали данные конфигурации, веб-журналы и файлы баз данных, связанные с учетными записями и данными сеансов, со взломанных устройств Ivanti Connect Secure VPN. Эти файлы были размещены в доступных через Интернет папках для удаленной загрузки.

Кроме того, Volexity обнаружила, что UTA0178 пытался избежать обнаружения, изменив встроенный инструмент проверки целостности. Изменив файл scanner.py, UTA0178 гарантировал, что инструмент всегда будет указывать на отсутствие результатов, даже при наличии новых или несоответствующих файлов. Это изменение было направлено на то, чтобы обойти усилия организаций по обнаружению компрометации на их устройствах Ivanti Connect Secure VPN.

Volexity также стало известно о случаях, когда организации применяли меры по смягчению последствий, но были повторно скомпрометированы после импорта предыдущих файлов конфигурации резервной копии. Файлы конфигурации резервной копии аннулировали ранее примененные меры по смягчению последствий.

#ParsedReport #CompletenessLow
18-01-2024

Containerised Clicks: Malicious use of 9hits on vulnerable docker hosts

https://www.cadosecurity.com/containerised-clicks-malicious-use-of-9hits-on-vulnerable-docker-hosts

Report completeness: Low

Actors/Campaigns:
Diicot

Threats:
Xmrig_miner

Geo:
Japan, China, Romanian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1496, T1529, T1078.004

IOCs:
IP: 2
Hash: 1

Soft:
docker, chrome, Alpine

Links:
https://github.com/cado-security

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи Cado Security Labs обнаружили новую кампанию, нацеленную на уязвимые сервисы Docker. Кампания включает в себя развертывание двух контейнеров на скомпрометированных экземплярах, XMRig miner и приложение 9hits viewer, с целью получения просмотров и кредитов для злоумышленника. Кампания использует вызовы API для извлечения ранее существовавших изображений из Dockerhub и не пытается выйти из контейнера, запуская его с заранее определенным аргументом. Основное воздействие кампании - исчерпание ресурсов на скомпрометированных хостах, что потенциально может привести к более серьезным нарушениям. Эта кампания подчеркивает растущую популярность незащищенных хостов Docker в качестве точек входа для атак и необходимость уделять приоритетное внимание безопасности сред Docker.
-----

Важные факты из текста:.

Исследователи из Cado Security Labs обнаружили новую кампанию, нацеленную на уязвимые сервисы Docker.

Кампания развертывает два контейнера на скомпрометированных экземплярах: XMRig miner и приложение 9hits viewer.

Это первый известный случай вредоносного ПО, использующего приложение 9hits в качестве полезной нагрузки.

Цель развертывания приложения viewer - генерировать просмотры и кредиты для злоумышленника.

Подозрительные сетевые снимки с honeypot позволяют предположить, что активность кампании исходит с IP 27.36.82.56 в Фошане, Китай.

IP 43.163.195.252, идентифицированный как хостинг Tencent в Японии, был замечен в предыдущих случаях.

Злоумышленник извлекает ранее существовавшие изображения из Dockerhub для программного обеспечения 9hits и XMRig, используя вызовы API.

Злоумышленник не пытается выйти из контейнера, а вместо этого запускает его с заранее заданным аргументом.

Контейнер XMRig подключается к частному пулу майнинга, что затрудняет получение статистики кампании и подробной информации.

Домен "dscloud" подключается к динамическому DNS Synology, обновляя домен IP-адресом злоумышленника.

Кампания приводит к исчерпанию ресурсов на скомпрометированных хостах, поскольку майнер XMRig потребляет ресурсы центрального процессора, а приложение 9hits потребляет полосу пропускания, память и мощность центрального процессора.

В результате страдает законная рабочая нагрузка на зараженных серверах.

Кампания потенциально может эволюционировать таким образом, чтобы оставить удаленную оболочку на скомпрометированных системах.

Аналогичный инцидент произошел с румынским исполнителем угроз "mexals/diicot", который поддерживал доступ к скомпрометированным серверам, используя вредоносный SSH-ключ одновременно с выполнением XMRig.

Эта кампания подчеркивает растущую популярность незащищенных хостов Docker в качестве точек входа для атак, подчеркивая необходимость уделять приоритетное внимание безопасности сред Docker.