Sicherheitsexperten haben eine ausgeklügelte Malware-Operation entdeckt, die das Ausnutzen von freiliegenden Docker-API-Endpunkten beinhaltet. Diese bösartige Kampagne zielt hauptsächlich darauf ab, Kryptowährungs-Mining-Software zu verbreiten, zusammen mit anderen gefährlichen Nutzlasten.
Zu den wichtigen Tools, die bei diesem Einsatz genutzt werden, gehören ein Remote-Zugriffsinstrument, das in der Lage ist, zusätzliche Malware herunterzuladen, sowie ein Dienstprogramm zur Verbreitung des bösartigen Codes über SSH, wie in einem kürzlich veröffentlichten Bericht der Cloud-Analysefirma Datadog enthüllt wurde.
Forscher haben Ähnlichkeiten zwischen dieser und einer früheren Kampagne namens Spinning YARN festgestellt, die ebenfalls schlecht konfigurierte Dienste wie Apache Hadoop YARN, Docker, Atlassian Confluence und Redis für Cryptojacking ausnutzte.
Die Angreifer starten ihr Schema, indem sie ungesicherte Docker-Server identifizieren und bestimmte offene Ports nutzen, um einen mehrstufigen Angriff zu beginnen, der Aufklärung, Erhöhung von Privilegien und letztendliche Ausbeutung beinhaltet.
Diese Gegner verwenden ein Shell-Skript namens „vurl“, um Nutzlasten von einer kontrollierten Infrastruktur zu erhalten. Das „vurl“-Skript ruft ein Base64-codiertes ausführbares Programm und ein drittes Shell-Skript für weitere schädliche Aktionen ab. Der Sicherheitsexperte Matt Muir bestätigte, dass das ausführbare Programm das Skript in seiner Verwendung von eingebetteten Befehls- und Kontrolldomänen ersetzt.
Die auf Golang basierende Binärdatei mit dem passenden Namen „chkstart“ scheint die Fähigkeit der Malware zu vereinfachen, einen Remote-Zugriff zu konfigurieren und zusätzliche Tools herunterzuladen, darunter ein „m.tar“-Archiv und den Befehl „top“, der einen XMRig-Miner verbirgt.
Zusätzliche Malware-Module wie „exeremo“ erleichtern die laterale Bewegung in Netzwerken und helfen bei der Verbreitung der Infektion, während „fkoths“, eine weitere auf Go basierende Binärdatei, entwickelt wurde, um Beweise des Eindringens zu eliminieren und Analysen zu vereiteln.
In der neuesten Phase wird auch ein Shell-Skript namens „s.sh“ eingeführt, um Scann-Tools einzurichten, die in der Lage sind, gefährdete Systeme zu identifizieren und zu kennzeichnen.
Die Entwicklung dieser Kampagne verdeutlicht insgesamt die fortlaufende Ausnutzung anfälliger Docker-Hosts für Cyberangriffe und die Anpassung von Malware-Nutzlasten, um forensische Untersuchungen zu vereiteln.
Relevante Zusatzinformationen:
– Docker ist eine offene Plattform für die Entwicklung, Bereitstellung und Ausführung von Anwendungen, die die Betriebssystemebene-Virtualisierung nutzt, um Software in Containern zu liefern.
– Cryptojacking ist eine illegale Aktivität, bei der ein Angreifer die Rechenressourcen eines Ziels hijackt, um Kryptowährungen zu schürfen.
– Die Verbreitung von Docker und seinen APIs als Ziel für Cryptojacking resultiert daraus, dass viele Bereitstellungen nicht ausreichend abgesichert sind und ohne ausreichende Authentifizierungsmechanismen dem Internet ausgesetzt sind.
– Der Aufstieg des Cloud-Computings hat zu einer Zunahme dieser Art von Angriffen geführt, da viele Organisationen in die Cloud migrieren, ohne vollständig zu verstehen oder die besten Sicherheitspraktiken umzusetzen.
– Die Tatsache, dass Container leicht erstellt, beendet und skaliert werden können, macht Docker-Umgebungen attraktiv für Cryptojacker, da diese mehrere Container für ihre Mining-Operationen ausnutzen können, sobald sie Zugang erhalten.
Herausforderungen und Kontroversen:
– Sicherheitsfehleinstellungen: Eine der größten Herausforderungen besteht darin sicherzustellen, dass Docker-APIs korrekt konfiguriert und mit starker Authentifizierung gesichert sind, um unbefugten Zugriff zu verhindern.
– Erkennung und Reaktion: Das Identifizieren kompromittierter Container und das Bestimmen des Umfangs eines Angriffs kann herausfordernd sein, da Angreifer verschiedene Techniken nutzen, um ihre Spuren zu verwischen und ihre bösartigen Aktivitäten zu verlängern.
– Beste Praktiken: Innerhalb der Cybersicherheitsgemeinschaft besteht eine kontinuierliche Debatte über die besten Praktiken für das Bereitstellen und Verwalten von Docker-Containern und das Sichern von Cloud-Umgebungen gegen solche Angriffe.
Vor- und Nachteile:
– Vorteile:
– Die Portabilität und die Benutzerfreundlichkeit von Docker machen es für Entwickler und Organisationen vorteilhaft, Anwendungen schnell bereitzustellen.
– Container können im Vergleich zu herkömmlichen virtualisierten Umgebungen zu einer effizienteren Ressourcennutzung führen.
– Nachteile:
– Wenn sie nicht korrekt gesichert sind, können Docker-Container und -APIs Angriffspunkte für Angreifer darstellen, um Cryptojacking und andere bösartige Operationen zu starten.
– Die zunehmende Raffinesse von Angriffen kann die Erkennung erschweren, da Angreifer kontinuierlich ihre Methoden weiterentwickeln, um Sicherheitsmaßnahmen zu umgehen.
Für weitere Informationen zu aufkommenden Bedrohungen im Bereich Cybersicherheit besuchen Sie Ressourcen von seriösen Organisationen der Branche:
– US-amerikanische Cybersecurity- und Infrastruktursicherheitsagentur (CISA)
– Europol
Stellen Sie sicher, dass Sie diese Websites immer direkt eingeben, indem Sie die URL in Ihren Browser eingeben, um Phishing oder betrügerische Websites zu vermeiden.
The source of the article is from the blog crasel.tk