Pesquisadores de segurança cibernética descobriram uma nova campanha de malware que visa endpoints expostos de API em Docker, com o objetivo de implantar mineradores de criptomoedas e outros payloads maliciosos.
Entre as ferramentas utilizadas está uma ferramenta de acesso remoto capaz de baixar e executar programas ainda mais maliciosos, além de uma funcionalidade para espalhar o malware via SSH, conforme relatado pela plataforma de análise de nuvem Datadog em um relatório publicado na semana passada.
A análise da campanha revelou semelhanças táticas com uma atividade anterior denominada Spinning YARN, que foi observada mirando serviços Apache Hadoop YARN, Docker, Atlassian Confluence e Redis mal configurados para fins de criptomineração.
O ataque começa com os hackers focando em servidores Docker com portas expostas (porta número 2375), iniciando uma série de etapas que incluem reconhecimento e escalonamento de privilégios antes de prosseguir para a fase de exploração.
Os payloads são recuperadas de uma infraestrutura controlada pelos adversários através da execução de um script shell chamado "vurl". Isso inclui outro script shell chamado "b.sh" que, por sua vez, contém um binário codificado em Base64 chamado "vurl" e é responsável por buscar e lançar um terceiro script shell conhecido como "ar.sh" (ou "ai.sh").
"O script ['b.sh'] decodifica e extrai esse binário para /usr/bin/vurl, sobrescrevendo a versão do script shell existente", disse o pesquisador de segurança Matt Muir. "Este binário difere da versão do script shell em seu uso de domínios de comando e controle embutidos."
O script shell "ar.sh" executa várias ações, incluindo a configuração de um diretório de trabalho, a instalação de ferramentas para escanear a internet em busca de hosts vulneráveis, a desativação do firewall e, por fim, a busca do payload da próxima etapa, denominada "chkstart."
Um binário Golang como o vurl, seu principal objetivo é configurar o host para acesso remoto e buscar ferramentas adicionais, incluindo "m.tar" e "top," sendo este último um minerador XMRig.
"Na campanha original do Spinning YARN, grande parte da funcionalidade do chkstart era manipulada por scripts shell," explicou Muir. "Portar essa funcionalidade para o código Go pode sugerir que o atacante está tentando complicar o processo de análise, já que a análise estática de código compilado é significativamente mais difícil do que de scripts shell."
Juntamente com "chkstart," são baixadas dois outros payloads chamados "Exeremo", utilizada para mover-se lateralmente para mais hosts e espalhar a infecção, e fkoths, um binário ELF baseado em Go para apagar rastros da atividade maliciosa e resistir a esforços de análise.
"Exeremo" também é projetado para executar um script shell ("s.sh") que cuida da instalação de várias ferramentas de escaneamento como pnscan, masscan e um scanner Docker personalizado ("sd/httpd") para identificar sistemas suscetíveis aos ataques.
"Esta atualização da campanha Spinning YARN mostra uma disposição contínua em atacar hosts Docker mal configurados para acesso inicial," disse Muir. "O hacker por trás dessa campanha continua a implementar nos payloads novas funcionalidades para o Go, o que pode indicar uma tentativa de dificultar o processo de análise, ou apontar para experimentação com builds multi-arquitetura."
Via - THN
Comments