Las instancias de la API de Docker incomprendida se han convertido en el objetivo de una nueva campaña de malware que los convierte en botnets de minería de criptomonedas.
El ataque, diseñado para minar para la moneda de detención, es notable porque las características similares a gusanos propagan malware a otras instancias de Docker expuestas y la cuerda en una creciente horda de bots mineros.
Kaspersky dijo que observó que los actores de amenazas no identificados obtuvieron acceso inicial a la infraestructura contenedora en ejecución al aprovechar la API Docker inestable para armarse ese acceso y crear redes ilegales de criptojacking.
«Esto comprometió el contenedor en ejecución y creó nuevos contenedores para no solo secuestrar recursos de víctimas para la minería de criptomonedas, sino también lanzar ataques externos que se propagan a otras redes».
La cadena de ataque se realiza a través de dos componentes. Nginx es un malware de propagación que escanea la API Docker expuesta y el minero de criptomonedas de Dero de «Cloud» a Internet. Ambas cargas útiles se desarrollan usando Golang. El uso de «NGINX» es un intento deliberado de volar debajo del radar bajo la parodia de un servidor web NGINX legítimo.
El malware de propagación está diseñado para registrar la actividad de ejecución de malware, iniciar mineros, ingresar en un bucle infinito y generar subredes de red IPv4 aleatorias para marcar instancias de Docker más sensibles que abren el puerto API predeterminado 2375 y el compromiso.
A continuación, el Dockerd Damperd remoto para el host con el IPv4 coincidente se ejecutará y verificará si es muy receptivo. Si el comando «Docker -h PS» falla, «Nginx» simplemente se mueve de la lista a la siguiente dirección IP.
«Después de confirmar que el Dockemd Damperd remoto se está ejecutando y es muy receptivo, NGINX genera un nombre de contenedor con 12 caracteres aleatorios y lo usa para crear un contenedor malicioso para el objetivo remoto», explicó Wageh. «Nginx prepara un nuevo contenedor para la instalación posterior de las dependencias actualizando el paquete a través de» Docker -h Exec -get -yq Update «».
La herramienta de propagación luego instala MassCan y Docker.io en el contenedor para que el malware pueda interactuar con Docker Daemon y realizar escaneos externos para infectar otras redes, difundiendo aún más el malware. En la etapa final, dos cargas útiles «Nginx» y «Cloud» se transfieren al contenedor utilizando el comando «Docker -h CP -L/USR/bin/:/usr/bin».
Una forma de configurar la persistencia es asegurarse de que el binario «NGINX» transferido se agrega al archivo «/Root/.Bash_aliAse» y se inicie automáticamente al inicio de sesión de shell. Otro aspecto importante del malware es que está diseñado para infectar hosts remotos y vulnerables con contenedores de ejecución basados en Ubuntu.
El objetivo final de la campaña es ejecutar un minero de criptomonedas de DETO basado en el minero de CLI de código abierto disponible en Github.
Kaspersky lo calificó como un duplicado de la campaña minera de dedo previamente documentada por Cloud Strike en marzo de 2023, y la campaña de minería de dedo dirigido a los grupos de Kubernetes basados en las direcciones de billetera y nodo derrot utilizado. Las iteraciones posteriores de la misma campaña fueron marcadas por Wiz en junio de 2024.
«La combinación de mineros y contenedores maliciosos previamente conocidos y nuevas muestras infectadas con contenedores existentes ha comprometido el entorno contenedorizado», dijo Wageh. «Los dos implantes maliciosos se propagan sin un servidor C2, creando redes con infraestructura contenedora y no se dirigen potencialmente a la API de Docker a Internet».
El desarrollo es que el Centro de Inteligencia de Seguridad de AhnLab (ASEC) detalla una campaña que incluye el despliegue de Monero Coin Miner, junto con una puerta trasera sin precedentes utilizando el protocolo de PybitMessage Peer-to-Peer (P2P) Communications Protocolations, que procesa las instrucciones entrantes de las protocolaciones de PybitMessage Peer-to-PuneRications.
Actualmente se desconoce el método de distribución exacto utilizado en la campaña, pero es esencial que los usuarios eviten descargar archivos de fuentes desconocidas o poco confiables y se mantengan a canales de distribución legítimos, ya que se sospecha que se disfrazan de una versión agrietada del software popular.
«El Protocolo de BitMessage es un sistema de mensajería diseñado con anonimato y descentralización en mente, con la prevención de la intercepción por parte de intermediarios y anonimización de remitentes y receptores de mensajes», dijo ASEC.
«Los actores de amenaza utilizaron el módulo PyBitMessage que implementa este protocolo en un entorno de Python, intercambiando paquetes cifrados en un formato similar al tráfico web normal. En particular, los comandos y mensajes de control C2 están ocultos dentro de los mensajes de los usuarios reales de la red de bitmessage».
Source link
