Кибербезопасность обнаружила новую кампанию вредоносного ПО, направленную на Docker-среды, с ранее неизвестным методом криптодобычи. Вместо классического майнинга через XMRig злоумышленники эксплуатируют сервис Web3 под названием Teneo — децентрализованную инфраструктуру физической сети (DePIN), позволяющую монетизировать публичные данные соцсетей через Community Nodes.
Teneo предоставляет вознаграждение в виде Teneo Points, конвертируемых в криптотокены $TENEO, за сбор постов из Ф⃰, X (бывший Twitter), Reddit и TikTok. Анализ вредоносного ПО показывает, что начальный этап атаки запускает Docker контейнер с образом "kazutod/tene:ten", загруженным в Docker Hub два месяца назад и скачанным уже 325 раз.
В контейнере находится сильно запутанный Python-скрипт, для раскрытия которого требуется 63 этапа дешифровки. После распаковки скрипт подключается к домену через WebSocket и отправляет фальшивые сигналы поддержания соединения — «heartbeat» — чтобы начислять Teneo Points без реального сбора данных. По данным Darktrace, основной объем вознаграждений на Teneo зависит именно от количества таких сигналов.
Этот новый способ напоминает другую кампанию с заражением Docker-сред 9Hits Viewer — ПО, генерирующего интернет-трафик для получения кредитов на рекламных сервисах. Также метод схож с известными схемами «bandwidth sharing» и proxyjacking, когда злоумышленники используют чужие интернет-ресурсы для финансовой выгоды.
Традиционный майнинг криптовалют, связанный с программами типа XMRig, всё чаще выявляется средствами защиты, поэтому зловреды перемещаются к альтернативным способам генерации прибыли в криптоэкосистеме, эффективность которых пока мало изучена.
Параллельно Fortinet FortiGuard Labs выявила ботнет RustoBot, ставящий целью устройства с уязвимостями в TOTOLINK (CVE-2022-26210, CVE-2022-26187) и DrayTek (CVE-2024-12987). Основные регионы атак — Япония, Тайвань, Вьетнам и Мексика. Главной задачей ботнета являются DDoS-атаки.
Эксперт Винсент Ли подчёркивает, что IoT и сетевая техника остаются слабо защищёнными, что стимулирует злоумышленников к эксплуатации. Он рекомендует повышать уровень мониторинга и надежности аутентификации для снижения рисков и предотвращения подобных атак.
Таким образом, новая кампания демонстрирует эволюцию методов киберпреступников в использовании криптосервисов Web3 и контейнерных технологий для скрытой прибыльной деятельности.
Изображение носит иллюстративный характер
Teneo предоставляет вознаграждение в виде Teneo Points, конвертируемых в криптотокены $TENEO, за сбор постов из Ф⃰, X (бывший Twitter), Reddit и TikTok. Анализ вредоносного ПО показывает, что начальный этап атаки запускает Docker контейнер с образом "kazutod/tene:ten", загруженным в Docker Hub два месяца назад и скачанным уже 325 раз.
В контейнере находится сильно запутанный Python-скрипт, для раскрытия которого требуется 63 этапа дешифровки. После распаковки скрипт подключается к домену через WebSocket и отправляет фальшивые сигналы поддержания соединения — «heartbeat» — чтобы начислять Teneo Points без реального сбора данных. По данным Darktrace, основной объем вознаграждений на Teneo зависит именно от количества таких сигналов.
Этот новый способ напоминает другую кампанию с заражением Docker-сред 9Hits Viewer — ПО, генерирующего интернет-трафик для получения кредитов на рекламных сервисах. Также метод схож с известными схемами «bandwidth sharing» и proxyjacking, когда злоумышленники используют чужие интернет-ресурсы для финансовой выгоды.
Традиционный майнинг криптовалют, связанный с программами типа XMRig, всё чаще выявляется средствами защиты, поэтому зловреды перемещаются к альтернативным способам генерации прибыли в криптоэкосистеме, эффективность которых пока мало изучена.
Параллельно Fortinet FortiGuard Labs выявила ботнет RustoBot, ставящий целью устройства с уязвимостями в TOTOLINK (CVE-2022-26210, CVE-2022-26187) и DrayTek (CVE-2024-12987). Основные регионы атак — Япония, Тайвань, Вьетнам и Мексика. Главной задачей ботнета являются DDoS-атаки.
Эксперт Винсент Ли подчёркивает, что IoT и сетевая техника остаются слабо защищёнными, что стимулирует злоумышленников к эксплуатации. Он рекомендует повышать уровень мониторинга и надежности аутентификации для снижения рисков и предотвращения подобных атак.
Таким образом, новая кампания демонстрирует эволюцию методов киберпреступников в использовании криптосервисов Web3 и контейнерных технологий для скрытой прибыльной деятельности.
