Криптоджекерам не дают покоя уязвимые серверы WebLogic и Docker API

Криптоджекерам не дают покоя уязвимые серверы WebLogic и Docker API

Криптоджекерам не дают покоя уязвимые серверы WebLogic и Docker API

Эксперты Trend Micro и Aqua Security зафиксировали новые атаки на Linux-серверы с целью скрытной добычи криптовалюты. Ботоводы Kinsing ищут непропатченный софт Oracle WebLogic Server, а кто-то, похожий на сгинувшую TeamTNT, — ошибки в настройках Docker-демона.

В ходе атак на WebLogic операторы ботнета Kinsing проводят сканирование на наличие уязвимостей, как недавних, так и более старых. Из последних злоумышленники наиболее часто ищут RCE двухлетней давности — CVE-2020-14882.

В случае успешной отработки эксплойта на сервер устанавливается шелл-скрипт, работающий как промежуточный загрузчик. Этот стейджер вначале готовит почву для криптоджекинга: повышает лимит расхода ресурсов (с помощью команды ulimit), удаляет журнал /var/log/syslog, отключает защиту вроде SELinux и агенты облачных служб Alibaba и Tencent, прибивает процессы сторонних майнеров.

После всех этих непрошеных действий на машину загружается (с удаленного сервера) вредонос Kinsing. Чтобы обеспечить ему постоянное присутствие, шелл-скрипт создает новое задание cron.

 

Атаки, зафиксированные на ловушках Aqua Security, различны, но по стилю и используемым инструментам напоминают вылазки TeamTNT. (В ноябре прошлого года эта криминальная группа свернула свои операции.)

Особенно заинтересовала аналитиков атака, нацеленная, судя по всему, на использование чужих мощностей для взлома алгоритма на эллиптических кривых (ECDLP secp256k1); успех в этом случае позволит получить ключи от любого криптокошелька. Хакеры ищут плохо сконфигурированные Docker-демоны, чтобы развернуть alpine — стандартный образ контейнера, который затем используется для загрузки на C2 шелл-скрипта в режиме командной строки.

 

Задачи других атак более прозаичны. В одном случае злоумышленники ищут уязвимые серверы Redis, чтобы установить майнер, в другом — Docker API, пригодные для внедрения бэкдора Tsunami.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ГК Солар купила ЭЛВИС-ПЛЮС

ГК «Солар» довела долю в капитале ИБ-интегратора «ЭЛВИС-ПЛЮС» до 100%. Сумма сделки не раскрывается. 49% пакета акций «ЭЛВИС-ПЛЮС» ГК «Солар» приобрела в 2020 году.

Консолидация 100% бизнеса компании позволит ГК «Солар» развивать вендорское направление «ЭЛВИС-ПЛЮС» и влиять на дорожную карту продуктов. Основной интерес ГК «Солар» вызывают СКЗИ ЗАСТАВА, а также инструменты ГОСТ VPN.

«ЭЛВИС-ПЛЮС» существует на рынке около 30 лет. Компания входит в список 20 крупнейших интеграторов ИБ. Компания разрабатывает ПАК «ЗАСТАВА» для защиты каналов связи и межсетевого экранирования.

«ЭЛВИС-ПЛЮС» также является разработчиком технологии Базовый Доверенный Модуль (БДМ), которая соответствует требованиям российских регуляторов в области защиты информации. По итогам 2023 года выручка «ЭЛВИС-ПЛЮС» составила 998 млн руб. Численность сотрудников на октябрь 2024 года — 178 человек.

После сделки «ЭЛВИС-ПЛЮС» не только сохранит канал продаж и продолжит предоставлять услуги нынешним клиентам, но сможет и расширить клиентскую базу.

Сделка с «ЭЛВИС-ПЛЮС» стала четвертой для «Солара» в 2024 году.

«В условиях импортозамещения роль системного интегратора существенно возрастает. Учитывая объемы работ и нехватку кадров в ИБ, заказчики не всегда могут справиться самостоятельно. Интегратор может предоставить готовое решение на основе новых продуктов и технологий. "ЭЛВИС-ПЛЮС" обладает крупнейшей экспертизой на рынке интеграции и продолжит свой путь в госсекторе как самостоятельная компания. Цель сделки — увеличить объем инвестиций в вендорское направление «Элвис-ПЛЮС» с целью стимулировать его рост», — прокомментировал Игорь Хереш, директор по управлению активами и M&A, ГК «Солар».

«В "Солар" мы видим надежного партнера, который демонстрирует высокую динамику запуска новых продуктов во многих технологических направлениях ИБ. Объединяя компетенции, мы рассчитываем перезагрузить наше направление, связанное с вендорскими продуктами, и амбициозно нарастить его долю в общем объеме выручки», — отметил Руслан Хайруллов, генеральный директор «ЭЛВИС-ПЛЮС».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru