- 13,885
- 20
- 8 Ноя 2022
Cado Security рассказывает о компании SSWW и других операциях.
Согласно новому исследованию компании Для просмотра ссылки Войдиили Зарегистрируйся , злоумышленники начали активно использовать сервис Cloudflare WARP для проведения атак на уязвимые интернет-ресурсы.
Cloudflare WARP - бесплатный VPN -сервис, который оптимизирует трафик, направляя его через международную сеть Cloudflare. Сервис использует собственную реализацию протокола WireGuard для туннелирования данных до ближайшего дата-центра Cloudflare.
Эксперты отмечают, что основная опасность вредоносного использования WARP кроется в высоком уровне доверия к IP -адресам Cloudflare. Многие сетевые администраторы склонны пропускать такой трафик, считая его частью обычных бизнес-процессов. Более того, некоторые специалисты даже рекомендуют разрешать весь диапазон IP-адресов Cloudflare в файрволах.
Один из примеров - кампания SSWW, нацеленная на майнинг криптовалюты. Злоумышленники атакуют открытые Docker-контейнеры, используя WARP для первоначального доступа. Первый такой инцидент был зафиксирован 21 февраля 2024 года.
Все начинается с создания контейнера, обладающего повышенными привилегиями и доступом к хост-системе. Для этого применяется следующий HTTP-запрос:
IPv4 TCP (PA) 104.28.247.120:19736 -> redacted:2375 POST /containers/create
HTTP/1.1
Host: redacted:2375
Accept-Encoding: identity
User-Agent: Docker-Client/20.10.17 (linux)
Content-Length: 245
Content-Type: application/json
{"Image": "61395b4c586da2b9b3b7ca903ea6a448e6783dfdd7f768ff2c1a0f3360aaba99", "Entrypoint": ["sleep", "3600"], "User": "root", "HostConfig": {"Binds": ["/:/h"], "NetworkMode": "host", "PidMode": "host", "Privileged": true, "UsernsMode": "host"}}
Далее запускается скрипт, который выполняет ряд действий:
Несмотря на то, что для сокрытия следов применяется WARP, исследователям удалось определить, что атаки исходят из дата-центра Cloudflare в Загребе, Хорватия.
Кампания SSWW - не единственная угроза, использующая WARP. Эксперты Cado Security зафиксировали значительный рост атак на SSH-сервисы через эту платформу. К концу 2023 года число таких попыток взлома достигло нескольких тысяч ежемесячно. Особенно тревожным фактом стала миграция многих известных хакерских групп с традиционных VPS-провайдеров на Cloudflare WARP для проведения своих операций.
Вероятно, киберпреступники используют WARP не столько для анонимности, сколько для обхода блокировок. IP-адреса Cloudflare воспринимаются как "чистые" и редко попадают в черные списки, в отличие от адресов, принадлежащих известным хостинг-провайдерам.
Согласно новому исследованию компании Для просмотра ссылки Войди
Cloudflare WARP - бесплатный VPN -сервис, который оптимизирует трафик, направляя его через международную сеть Cloudflare. Сервис использует собственную реализацию протокола WireGuard для туннелирования данных до ближайшего дата-центра Cloudflare.
Эксперты отмечают, что основная опасность вредоносного использования WARP кроется в высоком уровне доверия к IP -адресам Cloudflare. Многие сетевые администраторы склонны пропускать такой трафик, считая его частью обычных бизнес-процессов. Более того, некоторые специалисты даже рекомендуют разрешать весь диапазон IP-адресов Cloudflare в файрволах.
Один из примеров - кампания SSWW, нацеленная на майнинг криптовалюты. Злоумышленники атакуют открытые Docker-контейнеры, используя WARP для первоначального доступа. Первый такой инцидент был зафиксирован 21 февраля 2024 года.
Все начинается с создания контейнера, обладающего повышенными привилегиями и доступом к хост-системе. Для этого применяется следующий HTTP-запрос:
IPv4 TCP (PA) 104.28.247.120:19736 -> redacted:2375 POST /containers/create
HTTP/1.1
Host: redacted:2375
Accept-Encoding: identity
User-Agent: Docker-Client/20.10.17 (linux)
Content-Length: 245
Content-Type: application/json
{"Image": "61395b4c586da2b9b3b7ca903ea6a448e6783dfdd7f768ff2c1a0f3360aaba99", "Entrypoint": ["sleep", "3600"], "User": "root", "HostConfig": {"Binds": ["/:/h"], "NetworkMode": "host", "PidMode": "host", "Privileged": true, "UsernsMode": "host"}}
Далее запускается скрипт, который выполняет ряд действий:
- Останавливает сервисы конкурирующих майнеров
- Проверяет, не заражена ли система уже кампанией SSWW
- Отключает SELinux
- Настраивает huge pages и включает drop_caches для оптимизации XMRig
- Загружает и устанавливает майнер XMRig с встроенной конфигурацией
- Загружает и компилирует простой скрипт для скрытия процессов
- Добавляет скрипт скрытия процессов в /etc/ld.so.preload для работы в качестве пользовательского руткита
- Создает и активирует SystemD юнит для автозапуска майнера
Несмотря на то, что для сокрытия следов применяется WARP, исследователям удалось определить, что атаки исходят из дата-центра Cloudflare в Загребе, Хорватия.
Кампания SSWW - не единственная угроза, использующая WARP. Эксперты Cado Security зафиксировали значительный рост атак на SSH-сервисы через эту платформу. К концу 2023 года число таких попыток взлома достигло нескольких тысяч ежемесячно. Особенно тревожным фактом стала миграция многих известных хакерских групп с традиционных VPS-провайдеров на Cloudflare WARP для проведения своих операций.
Вероятно, киберпреступники используют WARP не столько для анонимности, сколько для обхода блокировок. IP-адреса Cloudflare воспринимаются как "чистые" и редко попадают в черные списки, в отличие от адресов, принадлежащих известным хостинг-провайдерам.
- Источник новости
- www.securitylab.ru
