Новости Захватить Kubernetes и выгнать соседей. Как работает самый наглый облачный червь этого месяца

NewsMaker

I'm just a script
Премиум
28,168
46
8 Ноя 2022
Создатели тестировали программу три недели и уже начали массово заражать серверы.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
mp23o647ffuqep3u3zdux0n8djlftfqg.jpg

Облачная инфраструктура стала ареной борьбы не только между защитниками и злоумышленниками, но и между самими вредоносными группировками: новый червь CAI заражает серверы, крадёт учётные данные, добывает криптовалюту и удаляет программы конкурентов.

Cloud AI Infrastructure Attack Framework, или CAI, представляет собой централизованную сеть заражённых устройств. Вредонос атакует доступные из интернета инструменты Docker, Kubernetes, Redis, etcd, Kubelet и Ray, которые компании используют для запуска приложений и управления облачными системами.

Специалисты Hunt.io впервые обнаружили связанную с CAI инфраструктуру 15 июня. За следующие три недели оператор перешёл от испытаний к полноценным атакам и заражению сетей. В исходном коде нашли признаки помощи языковых моделей, а отдельные приёмы напоминали методы облачных червей PCPJack и TeamPCP.

CAI сканирует интернет в поисках уязвимых сервисов, помещает найденные цели в автоматическую очередь и координирует атаки через единый управляющий сервер. После проникновения на компьютер загружаются программа для добычи криптовалюты, похититель секретов и скрытый канал удалённого доступа на Python.

Отдельные модули разыскивают и завершают процессы TeamPCP и PCPJack , а также удаляют связанные с конкурентами файлы. Так оператор освобождает ресурсы заражённой системы и старается сохранить единоличный контроль над похищенными данными и вычислительными мощностями.

Журналы управляющих серверов показали активные попытки эксплуатации, а операции с криптовалютными кошельками подтвердили несколько успешных заражений. CAI пока не отличается сложным устройством, однако быстро развивается и уже превратился из тестового проекта в рабочую платформу для атак на облачную инфраструктуру.
 
Источник новости
www.securitylab.ru

Похожие темы