Especialistas em cibersegurança descobriram uma operação de malware sofisticada que envolve o direcionamento de endpoints de API do Docker expostos. Essa campanha maliciosa tem como principal objetivo distribuir software de mineração de criptomoedas, juntamente com outras cargas prejudiciais.
Ferramentas importantes utilizadas nessa operação incluem um instrumento de acesso remoto capaz de baixar malware adicional, bem como uma utilidade para disseminar o código malicioso via SSH, conforme revelado em um relatório recente da empresa de análise em nuvem Datadog.
Pesquisadores observaram semelhanças entre esta e uma campanha anterior conhecida como Spinning YARN, que explorava de forma semelhante serviços mal configurados como Apache Hadoop YARN, Docker, Atlassian Confluence e Redis para cripto-mineração.
Os atacantes iniciam seu esquema identificando servidores Docker desprotegidos, utilizando portas específicas para começar um ataque em várias etapas que inclui reconhecimento, elevação de privilégios e eventual exploração.
Esses adversários utilizam um script de shell chamado “vurl” para obter cargas de uma infraestrutura controlada. O script “vurl” busca um executável codificado em Base64 e um terceiro script de shell para ações nefastas adicionais. O especialista em segurança Matt Muir confirmou que o executável substitui o script em seu uso de domínios de comando e controle incorporados.
O binário baseado em Golang, bem chamado de “chkstart”, parece facilitar a capacidade do malware de configurar acesso remoto e baixar ferramentas adicionais, que incluem um arquivo “m.tar” e o comando “top”, disfarçando um minerador XMRig.
Módulos de malware suplementares como “exeremo” facilitam o movimento lateral pelas redes e auxiliam na disseminação da infecção, enquanto “fkoths”, outro binário baseado em Go, foi projetado para apagar evidências da intrusão e dificultar a análise.
A fase mais recente também introduz um script de shell, “s.sh”, para configurar utilitários de verificação capazes de identificar e sinalizar sistemas em risco.
No geral, a evolução dessa campanha demonstra a exploração contínua de hosts Docker vulneráveis para ataques cibernéticos e a adaptação de cargas de malware para obstruir investigações forenses.
Fatos Adicionais Relevantes:
– Docker é uma plataforma aberta para desenvolver, enviar e executar aplicativos, que utiliza virtualização em nível de sistema operacional para fornecer software em pacotes chamados contêineres.
– A cripto-mineração é uma atividade ilegal em que um atacante se apropria dos recursos de computação de um alvo para minerar criptomoedas.
– A prevalência do Docker e suas APIs como alvo para cripto-mineração decorre do fato de que muitas implantações não estão devidamente seguras, deixando-as expostas à internet sem mecanismos de autenticação suficientes.
– O aumento da computação em nuvem tem levado a um aumento nesse tipo de ataque à medida que muitas organizações migram para a nuvem sem compreender totalmente ou implementar as melhores práticas de segurança.
– O fato de que os contêineres podem ser facilmente criados, removidos e dimensionados torna os ambientes Docker atraentes para cripto-atacantes, pois podem explorar vários contêineres para suas operações de mineração uma vez que obtêm acesso.
Perguntas e Respostas Chave:
– O que é cripto-mineração? Cripto-mineração é o uso não autorizado do poder de processamento do computador de outra pessoa para minerar criptomoedas. Os atacantes normalmente fazem isso infectando um sistema com malware que minera criptomoedas silenciosamente ou explorando aplicativos web vulneráveis.
– Como os atacantes exploram as APIs do Docker para cripto-mineração? Os atacantes exploram as APIs do Docker ao encontrar APIs expostas que não são protegidas por autenticação. Eles então utilizam esses pontos de acesso para implantar contêineres que executam software de mineração de criptomoedas, como XMRig para minerar Monero.
Desafios e Controvérsias Chave:
– Má Configuração de Segurança: Um dos maiores desafios é garantir que as APIs do Docker sejam configuradas corretamente e protegidas com autenticação forte para evitar acessos não autorizados.
– Deteção e Resposta: Identificar contêineres comprometidos e determinar o escopo de um ataque pode ser desafiador, pois os atacantes usam várias técnicas para esconder sua presença e prolongar suas atividades maliciosas.
– Melhores Práticas: Existe um debate contínuo na comunidade de cibersegurança sobre as melhores práticas para implantar e gerenciar contêineres Docker e proteger ambientes de nuvem contra esses ataques.
Vantagens e Desvantagens:
– Vantagens:
– A portabilidade e facilidade de uso do Docker tornam benéfico para desenvolvedores e organizações implantarem rapidamente aplicativos.
– Os contêineres podem levar a uma utilização mais eficiente de recursos em comparação com ambientes de virtualização tradicionais.
– Desvantagens:
– Se não forem seguros corretamente, os contêineres e APIs do Docker podem ser pontos de entrada para atacantes lançarem cripto-mineração e outras operações maliciosas.
– O aumento da sofisticação dos ataques pode dificultar a detecção, uma vez que os atacantes estão continuamente evoluindo seus métodos para evitar medidas de segurança.
Para mais informações sobre ameaças emergentes no cenário de cibersegurança, consulte recursos de organizações conceituadas do setor:
– Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA)
– Europol
Certifique-se sempre de visitar esses sites diretamente digitando a URL em seu navegador para evitar páginas de phishing ou fraudulentas.
The source of the article is from the blog queerfeed.com.br