Вредоносное ПО имитирует веб-инструмент для майнинга криптовалюты, генерирует поддельный трафик веб-сайта. Киберпреступники нацелены на уязвимые серверы Docker, развертывая два контейнера: стандартный майнер XMRig и приложение 9Hits viewer — автоматизированную систему обмена трафиком.
Исследователи безопасности Cado обнаружили новую кампанию, нацеленную на уязвимые серверы Docker, в ходе которой были развернуты два контейнера — обычный XMRig miner и приложение 9hits viewer. Это первый задокументированный случай использования вредоносным ПО приложения 9Hits Traffic Exchange viewer в качестве полезной нагрузки.
9hits — это платформа, на которой участники покупают кредиты за трафик, генерируемый на их веб-сайте, и могут запускать приложение viewer для посещения запрошенных веб-сайтов в обмен на кредиты. Злоумышленники обнаружили honeypot через Shodan или аналогичный сервис, поскольку их IP-адреса не включены в распространенные базы данных о злоупотреблениях. Но они могут использовать другой сервер для сканирования.
Дальнейшее расследование показало, что злоумышленник, вероятно, использует скрипт для установки переменной DOCKER_HOST и запуска обычного CLI для компрометации сервера. Они извлекают готовые изображения с Dockerhub для своих 9hits и программного обеспечения XMRig, обычного направления атаки для кампаний, нацеленных на Docker.
Как правило, злоумышленники используют обычный Alpine image для взлома контейнера и запуска вредоносного ПО на хосте. Однако в этой кампании они не пытаются выйти из контейнера и запустить его с заранее определенным аргументом.
Распространитель инициирует заражение, используя пользовательскую команду для вызова контейнера Docker, включая идентификаторы конфигурации/сеанса. Процесс nh.sh является точкой входа, и после того, как злоумышленник добавляет свой токен сеанса, он позволяет приложению 9hits проходить аутентификацию на их серверах и извлекает список сайтов для посещения. После посещения сайта приложением владельцу токена сеанса начисляется кредит на платформе 9hits.
9hits, приложение Chrome, используется для посещения различных веб-сайтов, включая сайты для взрослых и всплывающие окна. В 2017 году Chrome 59 представил режим, позволяющий пользователям запускать браузер в автоматической среде без видимого пользовательского интерфейса, что делает его популярным для автоматизации браузера в таких проектах, как Puppeteer или ChromeDriver.