Χάκερ κλέβουν crypto μέσω λανθασμένα διαμορφωμένων API Docker
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Χάκερ κλέβουν crypto μέσω λανθασμένα διαμορφωμένων API Docker
https://www.secnews.gr/651915/hacker-klevoun-crypto-meso-lanthasmenon-api-docker/
Jun 24th 2025, 16:09
by Absenta Mia
Κακοδιαμορφωμένα instances του Docker αποτελούν στόχο μιας κακόβουλης εκστρατείας που αξιοποιεί το δίκτυο ανωνυμίας Tor για την αθόρυβη εξόρυξη crypto σε ευάλωτα περιβάλλοντα. Μέσω της χρήσης του Tor, οι επιτιθέμενοι επιδιώκουν να αποκρύψουν την προέλευσή τους κατά την εγκατάσταση του λογισμικού εξόρυξης στα παραβιασμένα συστήματα.
Δείτε επίσης: Η BitoPro συνδέει τη Lazarus με την κλοπή crypto αξίας 11 εκατ. δολαρίων
Χάκερ κλέβουν crypto μέσω λανθασμένα διαμορφωμένων API Docker
Σύμφωνα με εταιρεία κυβερνοασφάλειας Trend Micro, οι επιθέσεις ξεκινούν με ένα αίτημα από τη διεύθυνση IP 198.199.72[.]27 για την απόκτηση λίστας όλων των containers στο σύστημα. Αν δεν υπάρχουν ενεργά containers, ο επιτιθέμενος προχωρά στη δημιουργία ενός νέου, βασισμένου στην εικόνα Docker "alpine", και πραγματοποιεί προσάρτηση του καταλόγου "/hostroot" – δηλαδή του ριζικού καταλόγου ("/") του φυσικού ή εικονικού συστήματος υποδοχής – ως volume εντός του container.
Αυτή η συμπεριφορά ενέχει σοβαρούς κινδύνους ασφάλειας, καθώς επιτρέπει στο container να έχει πρόσβαση και να τροποποιεί αρχεία και καταλόγους του συστήματος υποδοχής, γεγονός που μπορεί να οδηγήσει σε "container escape".
Στη συνέχεια, οι κακόβουλοι δράστες εκτελούν μια προσεκτικά ενορχηστρωμένη ακολουθία ενεργειών, η οποία περιλαμβάνει την εκτέλεση ενός shell script κωδικοποιημένου σε Base64, με σκοπό την εγκατάσταση του Tor εντός του Docker container κατά το στάδιο της δημιουργίας του. Τελικός στόχος είναι η ανάκτηση και εκτέλεση ενός απομακρυσμένου script από ένα .onion domain ("wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion").
Δείτε ακόμα: CoinMarketCap hacked: Κλοπή crypto των επισκεπτών του site
Αφού δημιουργηθεί το container, εκτελείται το shell script "docker-init.sh", το οποίο ελέγχει για την ύπαρξη του προσαρτημένου καταλόγου "/hostroot" και στη συνέχεια τροποποιεί τη ρύθμιση του SSH συστήματος, επιτρέποντας απομακρυσμένη πρόσβαση. Αυτό επιτυγχάνεται με την ενεργοποίηση της δυνατότητας σύνδεσης ως root και την προσθήκη ενός SSH κλειδιού που ελέγχεται από τον επιτιθέμενο στο αρχείο ~/.ssh/authorized_keys.
Χάκερ κλέβουν crypto μέσω λανθασμένα διαμορφωμένων API Docker
Ο επιτιθέμενος έχει επίσης εντοπιστεί να εγκαθιστά διάφορα εργαλεία, όπως τα masscan, libpcap, zstd και torsocks, να αποστέλλει (beacon) πληροφορίες σχετικά με το μολυσμένο σύστημα προς τον διακομιστή εντολών και ελέγχου (C&C) και τελικά να μεταφέρει ένα εκτελέσιμο αρχείο που λειτουργεί ως dropper για τον εξορύκτη crypto XMRig. Μαζί με αυτό, περιλαμβάνονται οι απαραίτητες ρυθμίσεις εξόρυξης, οι διευθύνσεις πορτοφολιού και τα URLs των mining pools.
Τα ευρήματα υποδεικνύουν μια συνεχιζόμενη τάση κυβερνοεπιθέσεων που στοχεύουν κακοδιαμορφωμένα ή ελλιπώς ασφαλισμένα περιβάλλοντα cloud, με σκοπό την εξόρυξη κρυπτονομισμάτων (cryptojacking).
Δείτε επίσης: DOJ: Κατάσχεση crypto που συνδέονταν με "pig butchering" scams
Βάσει των παραπάνω, μπορούμε να συμπεράνουμε ότι οι κυβερνοεγκληματίες εκμεταλλεύονται συστηματικά αδύναμες παραμέτρους ασφάλειας σε cloud υποδομές και containerization περιβάλλοντα, όπως το Docker, για την πραγματοποίηση υποκλοπής crypto. Αυτό σημαίνει ότι αντί να κλέβουν άμεσα δεδομένα ή να προκαλούν ορατή ζημιά, χρησιμοποιούν τους πόρους του συστήματος-θύματος (CPU, μνήμη, δίκτυο) για να εξορύξουν κρυπτονομίσματα — συνήθως Monero (XMR) λόγω της ανωνυμίας που προσφέρει.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Χάκερ κλέβουν crypto μέσω λανθασμένα διαμορφωμένων API Docker
https://www.secnews.gr/651915/hacker-klevoun-crypto-meso-lanthasmenon-api-docker/
Jun 24th 2025, 16:09
by Absenta Mia
Κακοδιαμορφωμένα instances του Docker αποτελούν στόχο μιας κακόβουλης εκστρατείας που αξιοποιεί το δίκτυο ανωνυμίας Tor για την αθόρυβη εξόρυξη crypto σε ευάλωτα περιβάλλοντα. Μέσω της χρήσης του Tor, οι επιτιθέμενοι επιδιώκουν να αποκρύψουν την προέλευσή τους κατά την εγκατάσταση του λογισμικού εξόρυξης στα παραβιασμένα συστήματα.
Δείτε επίσης: Η BitoPro συνδέει τη Lazarus με την κλοπή crypto αξίας 11 εκατ. δολαρίων
Χάκερ κλέβουν crypto μέσω λανθασμένα διαμορφωμένων API Docker
Σύμφωνα με εταιρεία κυβερνοασφάλειας Trend Micro, οι επιθέσεις ξεκινούν με ένα αίτημα από τη διεύθυνση IP 198.199.72[.]27 για την απόκτηση λίστας όλων των containers στο σύστημα. Αν δεν υπάρχουν ενεργά containers, ο επιτιθέμενος προχωρά στη δημιουργία ενός νέου, βασισμένου στην εικόνα Docker "alpine", και πραγματοποιεί προσάρτηση του καταλόγου "/hostroot" – δηλαδή του ριζικού καταλόγου ("/") του φυσικού ή εικονικού συστήματος υποδοχής – ως volume εντός του container.
Αυτή η συμπεριφορά ενέχει σοβαρούς κινδύνους ασφάλειας, καθώς επιτρέπει στο container να έχει πρόσβαση και να τροποποιεί αρχεία και καταλόγους του συστήματος υποδοχής, γεγονός που μπορεί να οδηγήσει σε "container escape".
Στη συνέχεια, οι κακόβουλοι δράστες εκτελούν μια προσεκτικά ενορχηστρωμένη ακολουθία ενεργειών, η οποία περιλαμβάνει την εκτέλεση ενός shell script κωδικοποιημένου σε Base64, με σκοπό την εγκατάσταση του Tor εντός του Docker container κατά το στάδιο της δημιουργίας του. Τελικός στόχος είναι η ανάκτηση και εκτέλεση ενός απομακρυσμένου script από ένα .onion domain ("wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion").
Δείτε ακόμα: CoinMarketCap hacked: Κλοπή crypto των επισκεπτών του site
Αφού δημιουργηθεί το container, εκτελείται το shell script "docker-init.sh", το οποίο ελέγχει για την ύπαρξη του προσαρτημένου καταλόγου "/hostroot" και στη συνέχεια τροποποιεί τη ρύθμιση του SSH συστήματος, επιτρέποντας απομακρυσμένη πρόσβαση. Αυτό επιτυγχάνεται με την ενεργοποίηση της δυνατότητας σύνδεσης ως root και την προσθήκη ενός SSH κλειδιού που ελέγχεται από τον επιτιθέμενο στο αρχείο ~/.ssh/authorized_keys.
Χάκερ κλέβουν crypto μέσω λανθασμένα διαμορφωμένων API Docker
Ο επιτιθέμενος έχει επίσης εντοπιστεί να εγκαθιστά διάφορα εργαλεία, όπως τα masscan, libpcap, zstd και torsocks, να αποστέλλει (beacon) πληροφορίες σχετικά με το μολυσμένο σύστημα προς τον διακομιστή εντολών και ελέγχου (C&C) και τελικά να μεταφέρει ένα εκτελέσιμο αρχείο που λειτουργεί ως dropper για τον εξορύκτη crypto XMRig. Μαζί με αυτό, περιλαμβάνονται οι απαραίτητες ρυθμίσεις εξόρυξης, οι διευθύνσεις πορτοφολιού και τα URLs των mining pools.
Τα ευρήματα υποδεικνύουν μια συνεχιζόμενη τάση κυβερνοεπιθέσεων που στοχεύουν κακοδιαμορφωμένα ή ελλιπώς ασφαλισμένα περιβάλλοντα cloud, με σκοπό την εξόρυξη κρυπτονομισμάτων (cryptojacking).
Δείτε επίσης: DOJ: Κατάσχεση crypto που συνδέονταν με "pig butchering" scams
Βάσει των παραπάνω, μπορούμε να συμπεράνουμε ότι οι κυβερνοεγκληματίες εκμεταλλεύονται συστηματικά αδύναμες παραμέτρους ασφάλειας σε cloud υποδομές και containerization περιβάλλοντα, όπως το Docker, για την πραγματοποίηση υποκλοπής crypto. Αυτό σημαίνει ότι αντί να κλέβουν άμεσα δεδομένα ή να προκαλούν ορατή ζημιά, χρησιμοποιούν τους πόρους του συστήματος-θύματος (CPU, μνήμη, δίκτυο) για να εξορύξουν κρυπτονομίσματα — συνήθως Monero (XMR) λόγω της ανωνυμίας που προσφέρει.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz