Los investigadores de ciberseguridad han descubierto una variante de una campaña recientemente revelada que abusa de la red Tor para los ataques de criptojacking dirigidos a las API de Docker expuestas.
Akamai, quien descubrió la última actividad el mes pasado, dijo que fue diseñado para impedir que otros actores accedan a la API de Docker desde Internet.
Los hallazgos se construyeron en un informe anterior de Trend Micro a fines de junio de 2025, y descubrieron una campaña maliciosa que se dirigió a las instancias de Docker expuestas para dejar caer en secreto el minero de criptomonedas XMRIG utilizando el dominio TOR para el anonimato.
«Esta nueva cepa parece usar herramientas similares al original, pero puede tener diferentes objetivos finales, incluida la posibilidad de establecer los cimientos para botnets complejos», dijo el investigador de seguridad Yonatan Gilvarg.
Las cadenas de ataque esencialmente implican entrometerse en las API de Docker incomprendidas para ejecutar un nuevo contenedor basado en la imagen de Docker Alpine y montar el sistema de archivos host en ella. Esto es seguido por un actor de amenaza que ejecuta una carga útil codificada de Base64 que descarga el descargador de script de shell del dominio A.onion.
Además de cambiar la configuración de SSH para configurar la persistencia, el script también instala otras herramientas como MassCan, LibpCap, LibpCap-Dev, ZSTD, Torsock y realiza reconocimiento, contacta el servidor de comando y control (C2) y el segundo. Descargue el binario comprimido del dominio de Inión.
«Los archivos que se descargaron originalmente no se comunicarán a Internet, ya que son goteros escritos que contienen el contenido que desean soltar», explicó Gilvarg. «Analizamos el archivo UTMP para averiguar quién está actualmente iniciado sesión en la máquina, excepto que dejamos caer otro archivo binario».
Curiosamente, el código fuente para el archivo binario contiene emojis que representan a los usuarios iniciados en el sistema. Esto indica que los artefactos pueden haberse creado utilizando un modelo de lenguaje grande (LLM).
Dropper también lanza MassCan para transmitir infecciones a esas máquinas repitiendo el mismo proceso que escaneando Internet para los servicios de API de Docker Open en el puerto 2375 y creando contenedores con comandos Base64.
Además, el binario incluye dos verificaciones de puertos más: 23 (Telnet) y 9222 (puerto de depuración remota para el navegador Chrome). Las capacidades que se extienden a través de estos puertos aún no están completamente incorporadas.
El método de ataque de Telnet utiliza un conjunto de credenciales predeterminados y de dispositivos conocidos para inicios de sesión de fuerza bruta, e intenta iniciar sesión con éxito en un punto final del sitio webhook (.) Con detalles de la dirección IP de destino y las credenciales de autenticación de víctimas.
En el puerto 9222, el malware interactúa con el navegador web utilizando una biblioteca GO llamada ChromedP. Anteriormente, los actores de la amenaza de Corea del Norte se comunicaron con los servidores C2, se comunicaron con el malware Stealer, evitó el cifrado de unión a aplicaciones de Chrome y se han conectado de forma remota a sesiones de cromo, cookies de sifón y otros datos privados.
Luego se conecta a una sesión existente usando un puerto remoto abierto, y finalmente envía la publicación al mismo dominio .donión que se utiliza para recuperar el descargador de script de shell, utilizando información sobre la dirección IP de origen donde se encuentra el malware y el destino que puede acceder al puerto 9222.
Los detalles se envían a un punto final llamado «httpbot/add» donde los dispositivos con puertos de depuración remotos expuestos pueden registrar dispositivos con puertos de depuración remotos para Chrome/Chrome con botnets para proporcionar cargas útiles adicionales que pueden robar datos, o realizar ataques de negación de negación distribuida (DDOS).
«El malware escanea solo el puerto 2375, por lo que la lógica para manejar los puertos 23 y 9222 actualmente no es inalcanzable y no se puede ejecutar», dijo Gilvalg. «Sin embargo, las implementaciones pueden existir e indicar capacidades futuras».
«Los atacantes tienen un gran control sobre los sistemas afectados por las API abusadas. Segmentar redes, limitar la exposición al servicio a Internet y garantizar que las credenciales predeterminadas no sean exageradas. Al adoptar estas medidas, las organizaciones pueden reducir significativamente la vulnerabilidad a tales amenazas».
Campaña de abuso de Wiz Flags AWS SES
Esta divulgación fue realizada por la compañía de seguridad en la nube Wiz en detalle en mayo de 2025, utilizando su campaña de Servicio de correo electrónico simple de Amazon (SES), utilizando sus claves de acceso a los Servicios web de Amazon (AWS) como LanzedPads para ataques de phishing masivo.
Actualmente, no sé cómo se obtuvo la clave. Sin embargo, hay varias formas en que los atacantes pueden lograr esto. Una exposición pública accidental de un repositorio de código, o robo a través de un activo incorrecto o desde una estación de trabajo de desarrollador utilizando malware de Stealer.
«Los atacantes usan la clave comprometida para acceder al entorno AWS de la víctima, omitir las restricciones incorporadas de SES, verificar la identidad del nuevo» remitente «y preparar y llevar a cabo operaciones de phishing de manera ordenada», dijeron los investigadores de Wiz Itay Harel y Hila Ramati.
Wiz, quien trabajó con Proofpoint para explorar más a fondo la campaña de phishing, dijo que el correo electrónico fue dirigido a varias organizaciones en múltiples regiones y sectores, y adoptó señuelos con temas fiscales para redirigir a los destinatarios a la página de cosecha de elegibilidad.
«Si SES está configurado con una cuenta, un atacante puede enviar correos electrónicos desde un dominio verificado», advirtió Wiz. «Más allá del daño a la marca, esto permite el phishing que parece provenir de usted y puede usarse para lanzar, fraude, robo de datos o decoración en procesos comerciales».
Source link
