Хакеры используют образы Docker для DDoS-атак на российские сайты - «Новости» » Интернет технологии
sitename
Недалеко от Земли «Джеймс Уэбб» обнаружил потенциально обитаемую планету-океан - «Новости сети»
Недалеко от Земли «Джеймс Уэбб» обнаружил потенциально обитаемую планету-океан - «Новости сети»
«Это позор»: первое платное дополнение к Cities: Skylines II получило 96 % отрицательных отзывов в Steam - «Новости сети»
«Это позор»: первое платное дополнение к Cities: Skylines II получило 96 % отрицательных отзывов в Steam - «Новости сети»
Тысячи телефонов и маршрутизаторов оказались подключены к прокси-сервисам без ведома владельцев - «Новости сети»
Тысячи телефонов и маршрутизаторов оказались подключены к прокси-сервисам без ведома владельцев - «Новости сети»
Сбой в драйвере GeForce RTX 4080 стоил команде Virtus.pro шанса на победу в турнире с призовым фондом $1,25 млн - «Новости сети»
Сбой в драйвере GeForce RTX 4080 стоил команде Virtus.pro шанса на победу в турнире с призовым фондом $1,25 млн - «Новости сети»
The Callisto Protocol наконец избавили от Denuvo — игру тут же выложили на торренты - «Новости сети»
The Callisto Protocol наконец избавили от Denuvo — игру тут же выложили на торренты - «Новости сети»
На Pwn2Own исследователи заработали 732 000 долларов и в очередной раз взломали Tesla - «Новости»
На Pwn2Own исследователи заработали 732 000 долларов и в очередной раз взломали Tesla - «Новости»
Проблема GoFetch угрожает процессорам Apple серии M, а патчи повлияют на производительность - «Новости»
Проблема GoFetch угрожает процессорам Apple серии M, а патчи повлияют на производительность - «Новости»
Немецкие правоохранители закрыли даркнет-маркетплейс Nemesis - «Новости»
Немецкие правоохранители закрыли даркнет-маркетплейс Nemesis - «Новости»
Рег.ру сообщил, что подвергся хакерской атаке - «Новости»
Рег.ру сообщил, что подвергся хакерской атаке - «Новости»
Замки Saflok, установленные в отелях и домах по всему миру, можно открыть из-за уязвимостей - «Новости»
Замки Saflok, установленные в отелях и домах по всему миру, можно открыть из-за уязвимостей - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Хакеры используют образы Docker для DDoS-атак на российские сайты - «Новости»

Аналитики компании CrowdStrike заметили, что Docker-образы, загруженные более 150 000 раз, использовались организации DDoS-атак против сайтов госорганов и новостных организаций в России и Беларуси.


По информации экспертов, за атаками, наблюдавшимися в феврале-марте текущего года, стоят проукраинские хактивисты, включая движение «IT-армия Украины». В общей сложности организаторы этих атак нацеливались на 24 домена, включая сайты российских и белорусских госорганов, вооруженных сил и СМИ.


Хакеры используют образы Docker для DDoS-атак на российские сайты - «Новости»

Некоторые цели хакеров

Исследователи отмечают, что атаки с помощью открытых API-интерфейсов Docker — это не новая практика, ведь подобные методы ранее уже использовали майнеры и такие хак-группы, как Lemon_Duck и TeamTNT. Дело в том, что в сети можно найти множество неправильно настроенных или плохо защищенных развертываний Docker, ресурсы которых хакеры успешно применяют для реализации собственных целей.


Эксперты CrowdStrike обнаружили вредоносную активность, когда их honeypot’ы с незащищенными Docker Engine API оказались заражены двумя вредоносными образами, загруженными прямо из Docker Hub. Суммарно образы eriknkl/stoppropaganda и abagayev/stop-russia были загружены 50 000 раз и 100 000 раз, хотя эти цифры не обязательно отражают реальное количество скомпрометированных хостов.





«Docker-образ содержит основанный на Go инструмент HTTP-тестирования под названием bombardier с хэшем SHA256 6d38fda9cf27fddd45111d80c237b86f87cf9d350c795363ee016bb030bb3453, который использует HTTP-запросы для стресс-тестирования сайтов. В данном случае инструмент применялся как DoS-инструмент, запускающийся автоматически при создании нового контейнера на основе Docker-образа», — рассказывают в CrowdStrike.


Исследователи пришли к выводу, что сначала цели для DDoS-атак выбирались случайным образом, но позже образы стали поставляться с синхронизируемым по времени жестко закодированным списком целей, которые подвергались одночасовым атакам.


Для обнаружения и ликвидации такой нежелательной активности специалисты CrowdStrike советуют использовать следующее Snort-правило: alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg: "Detects DoS HTTP request sent by erikmnkl/stoppropaganda tool"; flow:to_server, established; content:"Mozilla/5.0 (Windows NT 10.0|3B| Win64|3B| x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36"; http_header; content:"GET"; http_method; classtype:trojan-activity; metadаta:service http; sid:8001951; rev:20220420;)


Аналитики компании CrowdStrike заметили, что Docker-образы, загруженные более 150 000 раз, использовались организации DDoS-атак против сайтов госорганов и новостных организаций в России и Беларуси. По информации экспертов, за атаками, наблюдавшимися в феврале-марте текущего года, стоят проукраинские хактивисты, включая движение «IT-армия Украины». В общей сложности организаторы этих атак нацеливались на 24 домена, включая сайты российских и белорусских госорганов, вооруженных сил и СМИ. Некоторые цели хакеров Исследователи отмечают, что атаки с помощью открытых API-интерфейсов Docker — это не новая практика, ведь подобные методы ранее уже использовали майнеры и такие хак-группы, как Lemon_Duck и TeamTNT. Дело в том, что в сети можно найти множество неправильно настроенных или плохо защищенных развертываний Docker, ресурсы которых хакеры успешно применяют для реализации собственных целей. Эксперты CrowdStrike обнаружили вредоносную активность, когда их honeypot’ы с незащищенными Docker Engine API оказались заражены двумя вредоносными образами, загруженными прямо из Docker Hub. Суммарно образы eriknkl/stoppropaganda и abagayev/stop-russia были загружены 50 000 раз и 100 000 раз, хотя эти цифры не обязательно отражают реальное количество скомпрометированных хостов. «Docker-образ содержит основанный на Go инструмент HTTP-тестирования под названием bombardier с хэшем SHA256 6d38fda9cf27fddd45111d80c237b86f87cf9d350c795363ee016bb030bb3453, который использует HTTP-запросы для стресс-тестирования сайтов. В данном случае инструмент применялся как DoS-инструмент, запускающийся автоматически при создании нового контейнера на основе Docker-образа», — рассказывают в CrowdStrike. Исследователи пришли к выводу, что сначала цели для DDoS-атак выбирались случайным образом, но позже образы стали поставляться с синхронизируемым по времени жестко закодированным списком целей, которые подвергались одночасовым атакам. Для обнаружения и ликвидации такой нежелательной активности специалисты CrowdStrike советуют использовать следующее Snort-правило: alert tcp $HOME_NET any -
CSS

Смотрите также

А что там на главной? )))



Комментарии )))



Комментарии для сайта Cackle
Войти через:
Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика