Меню Закрыть

Даркнет маркет, сайт OMG! Операторы ботнета LemonDuck атаковали серверы Docker

Ссылка на Гидра сайт зеркало – hydra2web.cm
Ссылка на Гидра через Tor: hydrarulpfiemp3khy7bjlmdbgeewzghah2p2vail4gc3xlxkq3dsvyd.onion

---------------------------------------------------------------------

Ссылка на OMG – http://omgomgomgjnzdsg56m7g2u6nhhpexn7e6qrlpzhng7yhm52gnbov7fad.onion
Ссылка на зеркало OMG: https://omgomg.store

Зеркало на ОМГ!

В ходе текущей вредоносной кампании хакеры устанавливают криптомайнеры на системы жертв.

API-интерфейсы Docker на Linux-серверах стали мишенью крупномасштабной кампании по добыче криптовалюты Monero со стороны операторов ботнета LemonDuck.

Как сообщили специалисты из компании Crowdstrike, LemonDuck получает доступ к открытым API-интерфейсам Docker и запускает вредоносный контейнер для получения Bash-скрипта, замаскированного под изображение PNG. Полезная нагрузка создает задание cronjob в контейнере для загрузки файла Bash (a.asp), который выполняет следующие действия:

  • Отключает процессы на основе названий известных пулов майнинга, конкурирующих группировок криптомайнинга и пр.

  • Отключает демонов, таких как crond, sshd и syslog.

    Площадка омг сайт

  • Удаляет известные пути к файлам индикатора компрометации.

  • Отключает сетевые подключения к командному серверу конкурирующих групп криптомайнинга.

  • Отключает службу мониторинга Alibaba Cloud, которая защищает экземпляры от опасных действий.

После выполнения описанных выше действий Bash-скрипт загружает и запускает утилиту криптомайнинга XMRig вместе с файлом конфигурации, который скрывает кошельки злоумышленников за пулами прокси.

После того, как зараженная система была настроена для майнинга, LemonDuck пытается перемещаться по сети с помощью SSH-ключей, найденных в файловой системе. Если они доступны, злоумышленник использует их для повторения того же процесса заражения.

Зеркала Гидра тор

  Даркнет маркет, сайт OMG! Страховой гигант AON подвергся кибератаке

Добавить комментарий