Ciberseguridad 360 | Malware aprovecha vulnerabilidades en Docker para minar criptomonedas

Investigadores de ciberseguridad han descubierto una nueva campa�a de malware dirigida a puntos finales de la API Docket expuestos p�blicamente con el objetivo de distribuir mineros de criptomoneda y otras cargas �tiles.

Entre las herramientas desplegadas se incluye una herramienta de acceso remoto capaz de descargar y ejecutar m�s programas maliciosos, as� como una utilidad para propagar el malware a trav�s de SSH, seg�n inform� la plataforma de an�lisis en la nube Datadog en un informe publicado la semana pasada.

El an�lisis de la campa�a ha revelado solapamientos t�cticos con una actividad anterior denominada Spinning YARN, que se observ� atacando servicios Apache Hadoop YARN, Docker, Atlassian Confluence y Redis mal configurados con fines de cryptojacking.

El ataque comienza con los actores de la amenaza centr�ndose en los servidores Docker con puertos expuestos (puerto n�mero 2375) para iniciar una serie de pasos, comenzando con el reconocimiento y la escalada de privilegios antes de proceder a la fase de explotaci�n.

Las cargas �tiles se recuperan de la infraestructura controlada por el adversario mediante la ejecuci�n de un script de shell llamado "vurl". Esto incluye otro script de shell llamado "b.sh" que, a su vez, empaqueta un binario codificado en Base64 llamado "vurl" y tambi�n es responsable de buscar y lanzar un tercer script de shell conocido como "ar.sh" (o "ai.sh").

"El script ['b.sh'] decodifica y extrae este binario a /usr/bin/vurl, sobrescribiendo la versi�n existente del script de shell", dijo el investigador de seguridad Matt Muir. "Este binario difiere de la versi�n del script de shell en su uso de dominios [de comando y control] codificados".

El script de shell, "ar.sh", realiza una serie de acciones, entre las que se incluyen la creaci�n de un directorio de trabajo, la instalaci�n de herramientas para escanear Internet en busca de hosts vulnerables, la desactivaci�n del cortafuegos y, por �ltimo, la obtenci�n de la carga �til de la siguiente fase, denominada "chkstart".

Un binario Golang como vurl, su principal objetivo es configurar el host para el acceso remoto y obtener herramientas adicionales, incluyendo "m.tar" y "top", desde un servidor remoto, el �ltimo de los cuales es un minero XMRig.

"En la campa�a Spinning YARN original, gran parte de la funcionalidad de chkstart se gestionaba mediante scripts de shell", explica Muir. "Portar esta funcionalidad a c�digo Go podr�a sugerir que el atacante est� intentando complicar el proceso de an�lisis, ya que el an�lisis est�tico de c�digo compilado es significativamente m�s dif�cil que los scripts de shell".

Junto a "chkstart" se descargan otras dos cargas �tiles llamadas exeremo, que se utiliza para moverse lateralmente a m�s hosts y propagar la infecci�n, y fkoths, un binario ELF basado en Go para borrar los rastros de la actividad maliciosa y resistir los esfuerzos de an�lisis.

"Exeremo" tambi�n est� dise�ado para soltar un script de shell ("s.sh") que se encarga de instalar varias herramientas de escaneo como pnscan, masscan y un esc�ner Docker personalizado ("sd/httpd") para marcar los sistemas susceptibles.

"Esta actualizaci�n de la campa�a Spinning YARN muestra la voluntad de seguir atacando hosts Docker mal configurados para obtener acceso inicial", dijo Muir. "El actor de la amenaza detr�s de esta campa�a contin�a iterando sobre las cargas �tiles desplegadas portando la funcionalidad a Go, lo que podr�a indicar un intento de obstaculizar el proceso de an�lisis, o apuntar a la experimentaci�n con compilaciones multiarquitectura."

Fuente: thehackernews