پویشی که ماهها ادامه داشته است، درگاههای باز Docker Daemon API با پیکربندی نادرست را هدف قرار میدهد تا بدافزاری به نام Kinsing را که یک برنامهی استخراج رمزارز را در محیطهای container در معرض خطر مستقر میکند، نصب کند. پژوهشگران Aqua Security که این حملات را ردیابی کردهاند، بیان میکنند که روزانه هزاران مورد آلودگی مشاهده کردهاند. نفوذگران در این حمله از درگاههای Docker API با پیکربندی نادرست برای اجرای یک container اوبونتو که میزبان Kinsing است، سوءاستفاده میکنند.
بدافزار Kinsing در container، یک برنامهی استخراج رمزارز اجرا میکند و سپس سعی میکند آن را بیشتر گسترش دهد و هم containerها و هم میزبانها را هدف قرار میدهد. همهی حملات مشاهدهشده دارای نقطهی ورود یکسانی هستند که تنها تفاوت بین آنها آدرس IP است که یک اسکریپت shell اولیه از آن بارگیری میشود. تاکنون، پژوهشگران امنیتی ۳ آدرس IP متفاوت شناسایی کردهاند.
این اسکریپت shell برای غیرفعال کردن اقدامات امنیتی و پاک کردن گزارشها و همچنین حذف بدافزارها و برنامههای استخراج رمزارز رقیب با بستن آنها، حذف فایلهای مربوطه و خاتمه دادن به هر یک از containerهای Docker مخرب رقیب و حذف تصاویر آنها طراحی شده است. علاوهبرآن، این اسکریپتی که بدافزار Kinsing را بارگیری و اجرا میکند، از طریق crontab به پایداری میرسد و به دنبال دستورات دیگر در حال اجرا در cron است تا آنها را حذف کند.
Kinsing مبتنیبر لینوکس است و در Golang نوشته شده است که پس از اجرا، تلاش میکند تا با سرورهای دستور و کنترل در اروپای شرقی ارتباط برقرار کند. Aqua Security سرورهای اختصاصی مربوط به هر یک از توابع بدافزار مانند ارتباط دستور و کنترل، بارگیری یک اسکریپت انتشار و بارگیری یک برنامهی استخراج رمزارز را کشف کرد.
اسکریپت shell استفادهشده برای انتشار در سراسر شبکهی container بهصورت انفعالی دادهها را از /.ssh/config، .bash_history، /.ssh/know_hosts و موارد مشابه جمعآوری میکند سپس تلاش میکند که با استفاده از هر کاربر و ترکیب کلید از طریق SSH به هر میزبانی متصل شود.
برنامهی استخراج رمزارزی که در این حمله توزیع میشود، kdevtmpfsi نامیده میشود و برای استخراج بیتکوین طراحی شده است. این برنامه ابتدا به یک میزبانی متصل میشود که از یک درخواست ورود در HTTP برای دریافت دستورالعملهای بیشتر استفاده میکند و سپس عملیات استخراج را آغاز میکند. Aqua Security نتیجهگیری میکند که این حمله نمونهی دیگری از تهدیدات رو به رشد در محیطهای بومی ابری است. با افزایش استفاده از container، مهاجمان در حال گسترش حملات خود و افزایش سطح پیچیدگی آنها هستند.