Las instancias de Docker incomprendidas son el objetivo de las campañas que emplean a la red anónima de Tor para extraer sigilosamente la criptomoneda en entornos sensibles.
«Los atacantes usan la API de Docker incomprendida para acceder a entornos contenedores y una actividad de enmascarar mientras usan TOR para desplegar criptominadores», dijeron los microscientíficos de tendencia Sunil Bharti y Shubham Singh en un análisis publicado la semana pasada.
Al usar TOR, la idea es anonimizar su origen al instalar un menor en un sistema comprometido. El ataque, según la compañía de seguridad cibernética, comienza con una solicitud de la dirección IP 198.199.72 (.) 27, y recupera una lista de todos los contenedores en la máquina.
Si el contenedor no está presente, el atacante creará uno nuevo basado en la imagen Docker «Alpine» e instalará el directorio «/Hostroot», es decir, el directorio raíz de la máquina host física o virtual («https://thehackernews.com/»). Este comportamiento plantea un riesgo de seguridad y resulta en el contenedor escapar, ya que el contenedor puede acceder y modificar archivos y directorios en el sistema de host.
El actor de amenaza ejecuta un script de shell codificado Base64 para establecer el TOR en el contenedor como parte de la solicitud de creación, y luego realiza una serie de acciones cuidadosamente organizadas que eventualmente recuperan y ejecutan el script remoto del dominio A.ONION. («WTXQF54DJHP5PSKV2LFYDUUB5IEVXBYVLZJGJOPK6HXGE5UMombR63ad (.) Cebolla»))
«Refleja las tácticas comunes utilizadas por los atacantes para ocultar la infraestructura de comando y control (C&C), evitar la detección y entregar malware o mineros en entornos de nubes o contenedores comprometidos», dijeron los investigadores. «Además, los atacantes usan ‘Socks5H’ para enrutar todos los resoluciones de tráfico y DNS a través del TOR para un mayor anonimato y evasión».
Una vez que se crea el contenedor, el script de shell «Docker-init.sh» se expande para configurar el acceso remoto verificando el directorio «/Hostroot» instalado previamente, modificando la configuración SSH del sistema, habilitando el inicio de sesión root y agregando una tecla SSH controlada por el atacante al archivo ~/.ssh/autorizado_Keys.
También sabemos que los actores de amenaza han instalado una variedad de herramientas, como Masscan, LibpCap, ZSTD y torsocks. El Beacon proporciona los detalles del servidor C&C sobre el sistema infectado a la baliza, y en última instancia un binario que actúa como un goteo para el minero de criptomonedas XMRIG, junto con la configuración de minería requerida, la dirección de la billetera y las URL de la piscina de minería.
«Este enfoque ayuda a los atacantes a evitar la detección y simplificar la implementación en entornos comprometidos», dijo Trend Micro, y agregó que observó actividades dirigidas a compañías de tecnología, servicios financieros y organizaciones de atención médica.
Los hallazgos apuntan a las tendencias en curso en ataques cibernéticos que están mal configurados o de forma segura en entornos en la nube para fines de criptojacking.
El desarrollo es como reveló que Wiz había escaneado el repositorio de código público para revelar cientos de secretos verificados en McP.Json, .env y archivos de configuración de agentes de IA y cuadernos Python (.IPynb), convirtiéndolos en un tesoro de atacantes.
La compañía de seguridad en la nube dijo que ha descubierto secretos válidos que pertenecen a más de 30 empresas y nuevas empresas, incluidas las que pertenecen a compañías Fortune 100.
«Más allá de simplemente un secreto, generalmente debe tratarse como sensible por la ejecución del código de los cuadernos de Python», dijeron los investigadores Shea Berkovich y Rami McCarthy. «Su contenido puede proporcionar detalles de reconocimiento a los actores maliciosos si están correlacionados con la organización del desarrollador».
Source link
