Обнаружена новая волна атак с целью скрытого майнинга криптовалюты на публично доступных серверах DevOps

В центре внимания оказались сервисы Docker, Gitea, а также продукты HashiCorp Consul и Nomad, которые используются для автоматизации и управления инфраструктурой. По данным компании Wiz, следящей за деятельностью группы JINX-0132, злоумышленники активно эксплуатируют как уязвимости, так и неверные настройки — через них они внедряют вредоносные программы для майнинга.

Особый интерес вызвало то, что впервые было змечено использование ошибочных настроек Nomad как точки входа для атаки. В отличие от обычной схемы, нападающие загружают необходимые инструменты напрямую с репозиториев на GitHub, что затрудняет отслеживание их инфраструктуры и происхождения атак.

Злоумышленники взламывают серверы Nomad, управляющие сотнями клиентов, что означает возможность использования крупных вычислительных мощностей. Оценочно, такие ресурсы обошлись бы в десятки тысяч долларов ежемесячно, если бы речь шла о честной аренде облачных серверов. Подобные инциденты подчёркивают, насколько соблазнительна эксплуатация публичных DevOps-сервисов для майнинга, где мощность практически неограниченна.

Известно, что API Docker уже давно является излюбленным объектом для атак на инфраструктуру, позволяя запускать вредоносные контейнеры и даже монтировать файловую систему хоста.

Уязвимости и неверные настройки обнаружены и в Gitea, популярном open-source решении для размещения Git-репозиториев. Если злоумышленник получает доступ к аккаунту с правами на создание git hooks или если сервер работает на версии 1.4.0 либо установка осталась открытой (INSTALL_LOCK=false), возможно удалённое выполнение кода.

В ходе кампании JINX-0132 были добавлены вредоносные проверки, маскирующиеся под легитимные сервисы, но фактически скачивающие и запускающие XMRig — популярную программу для майнинга Monero.

Подобная схема эксплуатируется и для атак на Nomad. Если публично доступный сервер Nomad не защищён надёжным конфигом, злоумышленник может создавать задачи, которые автоматически загружают с GitHub и запускают тот же майнер XMRig.

Согласно данным Shodan, по всему миру обнаружено более 5300 открытых серверов Consul и более 400 Nomad, большая часть из которых расположена в Китае, США, Германии, Сингапуре, Финляндии, Нидерландах и Великобритании.

https://www.itsec.ru/news/obnaruzhena-novaya-volna-atak-s-zeliyu-skritogo-mayninga-kriptovaluti-na-publichno-dostupnih-erverov-devops