Aggiornamenti recenti Dicembre 1st, 2023 2:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Okta, altro che 1%: il breach ha colpito tutti gli utenti
- Google potenzia le difese contro lo spam con RETVec
- IA, QR Code e visori al servizio degli attaccanti: le cyber-previsioni di WatchGuard per il 2024
- Carenza di competenze di cybersecurity: un quarto delle imprese vuole affidarsi agli MSP
- Black Friday ghiotto per il cybercrimine: in vendita 30 milioni di dati di utenti italiani
Nuova campagna di cryptojacking su Docker
Una nuova e sofisticata campagna di cryptojacking attribuita al gruppo di cyber criminali WatchDog attacca gli endpoint di Docker Engine API e i server Redis non propriamente configurati
I ricercatori di Cado Labs hanno individuato una nuova campagna di cryptojacking che sfrutta tecniche avanzate di intrusione ed evasione dei sistemi di sicurezza e si propaga come un worm. Gli analisti ritengono di poter attribuire con sicurezza l’attacco al gruppo di cyber criminali WatchDog a causa delle tecniche utilizzate.
Lo scopo dei pirati è quello di minare criptovalute sfruttando, all’insaputa dei proprietari, le risorse delle macchine compromesse e prende di mira gli endpoint di Docker Engine API e i server Redis. L’attacco si svolge in più fasi.
L’accesso iniziale avviene attraverso endpoint Docker Engine API malconfigurati, un metodo comune per il malware per il cryptojacking secondo Cado Labs. I pirati cercano su Internet server con la porta 2375 aperta. Nelle impostazioni predefinite di Docker Engine, dà accesso non autenticato al demone di Docker.
Questo consente di elencare, creare e cancellare i container in esecuzione e anche di eseguirvi comandi shell arbitrari. Viene quindi caricato un primo payload, cronb.sh” che controlla lo stato della macchina, ne elenca i processi e carica il secondo payload, “ar.sh”. Questo esegue una serie di operazioni per nascondere il malware e depistare un’eventuali analisi forensica.
Viene poi caricato un terzo payload per fare il mining delle criptovalute, assicurarne la persistenza e anche cercare possibilità di espansione. Vengono infine scaricati gli script per la propagazione, “c.sh” e “d.sh”.
Anche se l’attacco sfrutta numerosi strumenti di un altro gruppo di pirati, TeamTNT, gli esperti di Cado Labs ritengono che a sferrarlo sia il gruppo WatchDog. Secondo loro questo tipo di attacco su larga scala è molto redditizio e facile da implementare per questo tipo di gruppo e proseguirà fino a quando “gli utenti continueranno a esporre servizi come Docker e Redis a reti non fidate”.
Condividi l'articolo
Rischio di attacchi omografici in Microsoft Office
Patch per vulnerabilità RCE critica in Atlassian Confluence
Articoli correlati
Altro in questa categoria
Approfondimenti
-
IA, QR Code e visori al servizio degli attaccanti: le... L’avvicinarsi della fine dell’anno coincide con... -
Carenza di competenze di cybersecurity: un quarto delle... Gli attacchi informatici crescono in numero e in... -
Black Friday ghiotto per il cybercrimine: in vendita 30... Yarix, divisione Digital Security di Var Group, ha... -
I trend delle minacce APT del 2024 Le minacce APT sono tra le più pericolose nel panorama... -
Black Friday e Cyber Monday: è il periodo delle truffe... Secondo l’ultima ricerca di Bitdefender, le truffe...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Okta, altro che 1%: il breach ha colpito tutti gli utenti Okta, la società americana di gestione delle identità, ha... -
Google potenzia le difese contro lo spam con RETVec Google ha rilasciato RETVec, uno strumento open-source per... -
AWS presenta Amazon One Enterprise per autenticarsi col... Durante il re:Invent, la conferenza annuale di Amazon Web... -
Defender Application Guard for Office è ufficialmente... Microsoft ha annunciato che Defender Application Guard for... -
Un gruppo hacktivista iraniano ha colpito un centro idrico... L’autorità idrica comunale di Aliquippa, una città...
Jargon room
Tutorial, guide e altre piccole idee per la sicurezza informatica
Ransomware: la serie
No posts found.
