18 de junio de 2024Sala de prensaVulnerabilidad/Cryptojacking Investigadores de ciberseguridad han descubierto una nueva campaña de malware dirigida a puntos finales de Docket API expuestos públicamente con el objetivo de entregar mineros de criptomonedas y otras cargas útiles. Entre las herramientas implementadas se incluye una herramienta de acceso remoto que es capaz de descargar y ejecutar más programas maliciosos, así como una utilidad para propagar el malware a través de SSH, dijo la plataforma de análisis en la nube Datadog en un informe publicado la semana pasada. El análisis de la campaña ha descubierto superposiciones tácticas con una actividad anterior denominada Spinning YARN, que se observó dirigida a servicios Apache Hadoop YARN, Docker, Atlassian Confluence y Redis mal configurados con fines de criptojacking. El ataque comienza cuando los actores de amenazas se concentran en los servidores Docker con puertos expuestos (número de puerto 2375) para iniciar una serie de pasos, comenzando con el reconocimiento y la escalada de privilegios antes de pasar a la fase de explotación. Las cargas útiles se recuperan de la infraestructura controlada por el adversario mediante la ejecución de un script de shell llamado «vurl». Esto incluye otro script de shell llamado «b.sh» que, a su vez, contiene un binario codificado en Base64 llamado «vurl» y también es responsable de buscar y ejecutar un tercer script de shell conocido como «ar.sh» (o «ai. sh»). «El [‘b.sh’] El script decodifica y extrae este binario a /usr/bin/vurl, sobrescribiendo la versión del script de shell existente», dijo el investigador de seguridad Matt Muir. «Este binario se diferencia de la versión del script de shell en el uso de código rígido. [command-and-control] dominios». El script de shell, «ar.sh», realiza una serie de acciones, incluida la configuración de un directorio de trabajo, la instalación de herramientas para escanear Internet en busca de hosts vulnerables, deshabilitar el firewall y, en última instancia, recuperar la carga útil de la siguiente etapa, denominada como «chkstart». Un binario de Golang como vurl, su objetivo principal es configurar el host para acceso remoto y recuperar herramientas adicionales, incluidas «m.tar» y «top», desde un servidor remoto, el último de los cuales es un XMRig. miner «En la campaña original de Spinning YARN, gran parte de la funcionalidad de chkstart fue manejada por scripts de shell», explicó Muir. «Transferir esta funcionalidad al código Go podría sugerir que el atacante está intentando complicar el proceso de análisis, ya que el análisis estático del código compilado. es significativamente más difícil que los scripts de shell». Junto con «chkstart» se descargan otras dos cargas útiles llamadas exeremo, que se utiliza para moverse lateralmente a más hosts y propagar la infección, y fkoths, un binario ELF basado en Go para borrar rastros del malware. actividad y resistir los esfuerzos de análisis. «Exeremo» también está diseñado para colocar un script de shell («s.sh») que se encarga de instalar varias herramientas de escaneo como pnscan, masscan y un escáner Docker personalizado («sd/httpd») para marcar sistemas susceptibles. «Esta actualización de la campaña Spinning YARN muestra la voluntad de continuar atacando hosts Docker mal configurados para el acceso inicial», dijo Muir. «El actor de amenazas detrás de esta campaña continúa iterando sobre las cargas útiles implementadas al trasladar la funcionalidad a Go, lo que podría indicar un intento de obstaculizar el proceso de análisis o apuntar a la experimentación con compilaciones de múltiples arquitecturas». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.