Los especialistas en ciberseguridad han descubierto una sofisticada operación de malware que implica el ataque a puntos finales de la API de Docker expuestos. Esta campaña maliciosa tiene como objetivo principal distribuir software de minería de criptomonedas, junto con otros cargamentos peligrosos.
Las herramientas importantes utilizadas en esta operación incluyen un instrumento de acceso remoto capaz de descargar malware adicional, así como una utilidad para diseminar el código malicioso a través de SSH, según informó recientemente la firma de análisis en la nube Datadog.
Los investigadores han notado similitudes entre esta y una campaña anterior conocida como Spinning YARN, que también explotó servicios mal configurados como Apache Hadoop YARN, Docker, Atlassian Confluence y Redis para el criptojacking.
Los atacantes inician su esquema identificando servidores Docker no seguros, utilizando puertos abiertos específicos para comenzar un ataque de múltiples etapas que incluye reconocimiento, elevación de privilegios y explotación eventual.
Estos adversarios emplean un script de shell llamado «vurl» para adquirir cargamentos de una infraestructura controlada. El script «vurl» obtiene un ejecutable codificado en Base64 y un tercer script de shell para más acciones nefastas. El experto en seguridad Matt Muir confirmó que el ejecutable usurpa el script en su uso de dominios de comando y control incrustados.
El binario basado en Golang, con el nombre apropiado de «chkstart», parece agilizar la capacidad del malware para configurar acceso remoto y descargar herramientas adicionales, que incluyen un archivo «m.tar» y el comando «top», disfrazando un minero XMRig en su interior.
Módulos de malware adicionales como «exeremo» facilitan el movimiento lateral en redes y ayudan en la propagación de la infección, mientras que «fkoths», otro binario basado en Go, está diseñado para eliminar evidencia de la intrusión y obstaculizar el análisis.
La última fase también introduce un script de shell, «s.sh», para configurar utilidades de escaneo capaces de identificar y señalar sistemas en riesgo.
En general, la evolución de esta campaña demuestra la explotación continuada de servidores Docker vulnerables para ataques cibernéticos y la adaptación de cargamentos de malware para obstaculizar investigaciones forenses.
Datos Adicionales Relevantes:
– Docker es una plataforma abierta para desarrollar, enviar y ejecutar aplicaciones, que utiliza la virtualización a nivel de sistema operativo para entregar software en paquetes llamados contenedores.
– El criptojacking es una actividad ilegal en la que un atacante se apropia de los recursos informáticos de un objetivo para minar criptomonedas.
– La prevalencia de Docker y sus API como objetivo de criptojacking se debe al hecho de que muchas implementaciones no están adecuadamente aseguradas, dejándolas expuestas en internet sin suficientes mecanismos de autenticación.
– El aumento de la computación en la nube ha llevado a un aumento en este tipo de ataques, ya que muchas organizaciones migran a la nube sin comprender completamente o implementar las mejores prácticas de seguridad.
– El hecho de que los contenedores puedan crearse, eliminarse y escalarse fácilmente hace que los entornos de Docker sean atractivos para los criptojackers, ya que pueden explotar múltiples contenedores para sus operaciones mineras una vez que obtienen acceso.
Principales Preguntas y Respuestas:
– ¿Qué es el criptojacking? El criptojacking es el uso no autorizado del poder de procesamiento de la computadora de otra persona para minar criptomonedas. Los atacantes suelen hacer esto infectando un sistema con malware que mina criptomonedas en silencio o explotando aplicaciones web vulnerables.
– ¿Cómo aprovechan los atacantes las API de Docker para el criptojacking? Los atacantes explotan las API de Docker al encontrar APIs expuestas que no están protegidas por autenticación. Luego utilizan estos puntos de acceso para implementar contenedores que ejecutan software de minería de criptomonedas, como XMRig para minar Monero.
Desafíos Clave y Controversias:
– Configuraciones de Seguridad Erróneas: Uno de los mayores desafíos es asegurar que las API de Docker estén configuradas correctamente y protegidas con una sólida autenticación para prevenir el acceso no autorizado.
– Detección y Respuesta: Identificar contenedores comprometidos y determinar el alcance de un ataque puede ser desafiante, ya que los atacantes utilizan diversas técnicas para ocultar su presencia y prolongar sus actividades maliciosas.
– Mejores Prácticas: Existe un debate continuo dentro de la comunidad de ciberseguridad sobre las mejores prácticas para implementar y gestionar contenedores de Docker y asegurar entornos en la nube contra tales ataques.
Ventajas y Desventajas:
– Ventajas:
– La portabilidad y facilidad de uso de Docker hacen que sea beneficioso para desarrolladores y organizaciones para implementar rápidamente aplicaciones.
– Los contenedores pueden llevar a una utilización de recursos más eficiente en comparación con entornos virtualizados tradicionales.
– Desventajas:
– Si no se aseguran correctamente, los contenedores y las API de Docker pueden ser puntos de entrada para que los atacantes lancen criptojacking y otras operaciones maliciosas.
– La sofisticación creciente de los ataques puede hacer que la detección sea difícil, ya que los atacantes están evolucionando continuamente sus métodos para evadir medidas de seguridad.
Para obtener más información sobre las amenazas emergentes en el panorama de la ciberseguridad, consulte los recursos de organizaciones de renombre en la industria:
– Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA)
– Europol
Asegúrese siempre de visitar estos sitios directamente escribiendo la URL en su navegador para evitar sitios de phishing o fraudulentos.
The source of the article is from the blog macholevante.com