01 de febrero de 2024Sala de prensaCryptojacking/Seguridad de Linux Los puntos finales de la API Docker expuestos en Internet están bajo el ataque de una sofisticada campaña de cryptojacking llamada Commando Cat. «La campaña despliega un contenedor benigno generado mediante el proyecto Commando», dijeron los investigadores de seguridad de Cado, Nate Bill y Matt Muir, en un nuevo informe publicado hoy. «El atacante escapa de este contenedor y ejecuta múltiples cargas útiles en el host Docker». Se cree que la campaña ha estado activa desde principios de 2024, lo que la convierte en la segunda campaña de este tipo descubierta en otros tantos meses. A mediados de enero, la empresa de seguridad en la nube también arrojó luz sobre otro grupo de actividades que apunta a hosts Docker vulnerables para implementar el minero de criptomonedas XMRig, así como el software 9Hits Viewer. Commando Cat emplea Docker como vector de acceso inicial para entregar una colección de cargas útiles interdependientes desde un servidor controlado por el actor que es responsable de registrar la persistencia, abrir puertas traseras al host, filtrar las credenciales del proveedor de servicios en la nube (CSP) y lanzar el minero. Posteriormente se abusa del punto de apoyo obtenido al violar instancias susceptibles de Docker para implementar un contenedor inofensivo utilizando la herramienta de código abierto Commando y ejecutar un comando malicioso que le permite escapar de los límites del contenedor a través del comando chroot. También ejecuta una serie de comprobaciones para determinar si los servicios denominados «sys-kernel-debugger», «gsc», «c3pool_miner» y «dockercache» están activos en el sistema comprometido y pasa a la siguiente etapa solo si este paso pasa. . «El propósito de la verificación de sys-kernel-debugger no está claro: este servicio no se utiliza en ninguna parte del malware ni forma parte de Linux», dijeron los investigadores. «Es posible que el servicio sea parte de otra campaña con la que el atacante no quiera competir». La fase siguiente implica eliminar cargas útiles adicionales del servidor de comando y control (C2), incluida una puerta trasera de script de shell (user.sh) que es capaz de agregar una clave SSH al archivo ~/.ssh/authorized_keys y crear un usuario deshonesto. llamado «juegos» con una contraseña conocida por el atacante e incluyéndola en el archivo /etc/sudoers. También se entregan de manera similar tres scripts de shell más: tshd.sh, gsc.sh, aws.sh, que están diseñados para eliminar Tiny SHell, una versión improvisada de netcat llamada gs-netcat, y filtrar credenciales y variables de entorno, respectivamente. . «En lugar de utilizar /tmp, [gsc.sh] «También usa /dev/shm en su lugar, que actúa como un almacén de archivos temporal pero con respaldo de memoria», dijeron los investigadores. «Es posible que este sea un mecanismo de evasión, ya que es mucho más común que el malware use /tmp». «Esto también da como resultado que los artefactos no toquen el disco, lo que dificulta un poco el análisis forense. Esta técnica se ha utilizado antes en BPFdoor, una campaña de Linux de alto perfil». El ataque culmina con el despliegue de otra carga útil que se entrega directamente como un script codificado en Base64 en lugar de recuperarse del servidor C2, que, a su vez, elimina el minero de criptomonedas XMRig, pero no antes de eliminar los procesos mineros competidores de la máquina infectada. Los orígenes exactos del actor de amenazas detrás de Commando Cat no están claros actualmente, aunque se ha observado que los scripts de shell y la dirección IP C2 se superponen con aquellos vinculados a grupos de cryptojacking. como TeamTNT en el pasado, lo que plantea la posibilidad de que pueda ser un grupo imitador. «El malware funciona como un ladrón de credenciales, una puerta trasera altamente sigilosa y un minero de criptomonedas, todo en uno», dijeron los investigadores. «Esto lo hace versátil y capaz de extraiga el mayor valor posible de las máquinas infectadas». ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link