Los investigadores de ciberseguridad descubren nuevas campañas de criptomonedas de criptomonedas dirigidas a servidores web de DevOps accesibles públicamente como Docker, Gitea, Hashicorp Cónsul y Nomad, e ilegalmente mina la criptomoneda.
Wiz, una compañía de seguridad en la nube que rastrea las actividades bajo el nombre Jinx-0132, dijo que los atacantes están aprovechando una amplia gama de conceptos erróneos y vulnerabilidades conocidos para proporcionar cargas útiles para los mineros.
«En particular, esta campaña marca lo que creemos que es el primer caso publicado de conceptos erróneos nómadas que se utilizan mal como vectores de ataque salvaje», dijeron los investigadores Giri Tikochinsky, Daniel Aminov y Merab Barr en un informe compartido con Hacker News.
Lo que hace que estos ataques se destaquen aún más es que los malos actores descargan las herramientas necesarias directamente desde el repositorio de GitHub, en lugar de usar su propia infraestructura para fines de puesta en escena. El uso de herramientas preparadas se ve como un intento deliberado de nublar los esfuerzos de atribución.
Se dice que Jinx-0132 se comprometió en un caso nómada que administra cientos de clientes que cuestan decenas de miles de dólares al mes, dados los recursos totales de CPU y RAM. Esto también ayuda a resaltar la potencia informática que impulsa la actividad de criptojacking.
Vale la pena mencionar que la explotación de la API de Docker es un lanzador conocido para tales ataques. La semana pasada, Kaspersky reveló que los actores de amenaza apuntan a instancias de API de Docker mal conformados y hacen que se unan a las botnets de minería de criptomonedas.
Gire los contenedores que montan los sistemas de archivos de host de instancia de la API de Docker expuesto que abren la puerta para ejecutar código malicioso al girar contenedores o invocando puntos finales de Docker estándar como «/contenedores/crereve» o «/contenedores/{id}/inicio» para iniciar imágenes de criptomonedas.
Wiz dijo que los actores de amenaza también están aprovechando las vulnerabilidades de Gitea (por ejemplo, CVE-2020-14144) o los conceptos erróneos de Gitea, una solución ligera de código abierto para alojar repositorios de GIT, para obtener andamios tempranos para los objetivos.
Específicamente, si un atacante puede acceder a un usuario existente con permiso para crear un gancho GIT, si está ejecutando la versión 1.4.0 o la página de instalación permanece desbloqueada, se sabe que una instancia pública de Gitea es vulnerable a la ejecución de código remoto (es decir, install_lock = false).
Del mismo modo, Hashicorp Cónsul puede allanar el camino para la ejecución del código arbitrario si el sistema no está configurado correctamente y los usuarios con acceso remoto al servidor pueden registrar servicios y definir las verificaciones de salud.
«La campaña organizada por Jinx-0132 agregó una verificación maliciosa de que abusó de esta habilidad y en realidad ejecutó un software minero», dice Wiz. «Jinx-0132 agrega múltiples servicios con nombres aparentemente aleatorios que realmente están destinados a descargar y ejecutar la carga útil XMRIG».
También se ha observado que Jinx-0132 explota la falsa oscuridad en la API de Nomad Server publicada para crear múltiples empleos nuevos en hosts comprometidos responsables de descargar y ejecutar la carga útil XMRIG Miner de Github. Los ataques dependen del hecho de que Nomad no es inseguro para crear y ejecutar estos trabajos.
«Esta configuración predeterminada significa efectivamente que el acceso ilimitado a la API del servidor puede expuestos a la funcionalidad de ejecución del código remoto (RCE) del servidor en sí y todos los nodos conectados», dice Wiz.
Según los datos de Shodan, hay más de 5.300 servidores cónsul expuestos y más de 400 servidores nómadas expuestos en todo el mundo. La mayor parte de la exposición se concentra en China, Estados Unidos, Alemania, Singapur, Finlandia, los Países Bajos y el Reino Unido.
Los atacantes explotan los sistemas Webui abiertos expuestos a Internet para ejecutar menores
Esta divulgación se produce cuando SYSDIG descubre detalles sobre campañas de malware que se dirigen a Linux y Windows aprovechando el sistema incomprendido que aloja que abre WebUI para cargar la inteligencia artificial (IA), los scripts de Python y, en última instancia, proporcionan mineros de criptomonedas.
«La exposición a Internet permitió a cualquiera ejecutar comandos sobre sus sistemas. Un atacante de error peligroso es un error peligroso que está escaneando activamente», dijeron los investigadores de seguridad Miguel Hernández y Alessandra Rizzo en un informe compartido con la publicación.
«Cuando los atacantes descubren un sistema de entrenamiento expuesto, han comenzado a usar Open WebUI Tool, un sistema de complementos utilizado para mejorar la funcionalidad de LLM. OpenWebui le permite cargar scripts de Python para extender la funcionalidad.
Según SYSDIG, el código Python está diseñado para descargar y ejecutar mineros de criptomonedas como T-Rex y XMRIG, creando un servicio Systemd para persistencia y uso de Discord Webhook para Comando y Control (C2). El malware también incluye bibliotecas como ProcessShider y Argvhider, que oculta el proceso de minería en los sistemas Linux y actúa como una táctica de evasión de defensa.
En los sistemas de Windows comprometidos, los ataques proceden a lo largo de una línea similar, pero también requieren la implementación del Kit de Desarrollo Java (JDK) para ejecutar el archivo JAR («Application-Ref.jar»). El archivo JAR, de su parte, actúa como un cargador basado en Java que ejecuta la carga útil de JAR secundaria.
La cadena de ataque culmina en la ejecución de dos archivos «int_d.dat» e «int_j.dat» que están equipados para robar credenciales relacionadas con inconsistencias y extensiones de billetera de criptomonedas configuradas en Google Chrome.
Sysdig dijo que hay más de 17,000 instancias de webui abiertas accesibles a través de Internet. Sin embargo, no está claro cuántas otras debilidades de seguridad son realmente malinterpretadas o susceptibles a ellas.
«Los conceptos erróneos accidentales de los sistemas como Open WebUI expuestos a Internet siguen siendo un problema grave», dijeron los investigadores. «Los atacantes se dirigieron a los sistemas Linux y Windows, incluidas las versiones de Windows, incluidas las sofisticadas técnicas de inftealista y evasión».
Source link
