Nuevos objetivos de malware exponen la API de Docker para la minería de criptomonedas


18 de junio de 2024Vulnerabilidad en la sala de redacción/Cryptojacking

Investigadores de ciberseguridad han descubierto una nueva campaña de malware dirigida a puntos finales de Docket API disponibles públicamente con el objetivo de entregar mineros de criptomonedas y otras cargas útiles.

Las herramientas implementadas incluyen herramientas de acceso remoto que pueden descargar y ejecutar más programas maliciosos, así como utilidades que propagan malware a través de SSH, según un informe publicado la semana pasada por la plataforma de análisis en la nube Datadog.

El análisis de esta campaña revela una superposición táctica con un esfuerzo anterior llamado Spinning YARN. Se observó que Spinning YARN apuntaba a servicios Apache Hadoop YARN, Docker, Atlassian Confluence y Redis mal configurados con fines de criptojacking.

El ataque comienza cuando el actor de la amenaza se dirige a un servidor Docker con un puerto expuesto (número de puerto 2375) e inicia una serie de pasos, comenzando con el reconocimiento y la escalada de privilegios, y avanzando hasta la fase de explotación.

La carga útil se obtiene de una infraestructura controlada por el adversario ejecutando un script de shell llamado ‘vurl’. Esto incluye otro script de shell llamado “b.sh”, que contiene un binario codificado en Base64 llamado “vurl” y “ar.sh” (o “ai.sh”). para recuperar e iniciar un tercer script de shell llamado.

” [‘b.sh’] “El script decodifica el binario y lo extrae a /usr/bin/vurl, sobrescribiendo la versión del script de shell existente”, dijo el investigador de seguridad Matt Muir. “Este binario se diferencia de la versión del script de shell en que utiliza binarios codificados. [command-and-control] dominio. “

El script de shell “ar.sh” hace muchas cosas, incluyendo configurar un directorio de trabajo, instalar herramientas para escanear Internet en busca de hosts vulnerables, desactivar el firewall y, finalmente, obtener la carga útil para la siguiente etapa llamada “chkstart’. ‘Realizar diversas acciones.

Un binario de Golang como vurl, cuyo propósito principal es configurar un host para acceso remoto y recuperar herramientas adicionales como “m.tar” y “top” desde un servidor remoto (minero XMRig).

“En la campaña original de Spinning YARN, gran parte de la funcionalidad de chkstart se manejaba mediante scripts de shell”, explica Muir. “Transferir esta funcionalidad al código Go puede indicar que los atacantes están intentando complicar el proceso de análisis, ya que el análisis estático del código compilado es significativamente más difícil que los scripts de shell”.

Junto con ‘chkstart’ se descargan otras dos cargas útiles llamadas exeremo. El exeremo se utiliza para propagar la infección moviéndose lateralmente a más huéspedes. Además, fkoths es un binario ELF basado en Go para borrar rastros de actividad maliciosa y resistir intentos de análisis.

‘Exeremo’ instala varias herramientas de escaneo como pnscan, masscan, un escáner Docker personalizado (‘sd/httpd’) y coloca un script de shell (‘s.sh’) que marca los sistemas susceptibles para los que está diseñado.

“Esta actualización de la campaña Spinning YARN demuestra nuestra voluntad de continuar atacando hosts Docker mal configurados para el acceso inicial”, dijo Muir. “Los actores de amenazas detrás de esta campaña están ejecutando repetidamente la carga útil implementada al trasladar la funcionalidad a Go. Esto podría ser un intento de interrumpir el proceso de análisis o una indicación de que puede haber experimentación con compilaciones de múltiples arquitecturas”.

¿Te pareció interesante este artículo?sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.




Fuente: https://thehackernews.com/2024/06/new-malware-targets-exposed-docker-apis.html