Specjaliści ds. bezpieczeństwa cybernetycznego odkryli złożoną operację malware’ową obejmująca atakowanie narażonych punktów końcowych interfejsów API Docker. Ta złośliwa kampania ma głównie na celu rozpowszechnianie oprogramowania do kopania kryptowalut, wraz z innymi niebezpiecznymi ładunkami.
Ważne narzędzia wykorzystywane w tej operacji obejmują narzędzie do zdalnego dostępu zdolne do pobierania dodatkowych malware’ów, oraz narzędzie do rozpowszechniania kodu złośliwego za pomocą SSH, jak ujawniono w niedawnym raporcie firmy analitycznej chmury Datadog.
Badacze zauważyli podobieństwa między tą a wcześniejszą kampanią znaną jako „Spinning YARN”, która podobnie wykorzystywała źle skonfigurowane usługi takie jak Apache Hadoop YARN, Docker, Atlassian Confluence i Redis do kryptowalutowego kopania.
Atakujący rozpoczynają swoje działanie przez zidentyfikowanie niezabezpieczonych serwerów Dockera, wykorzystując określone otwarte porty do uruchomienia wieloetapowego ataku, który obejmuje rozpoznanie, podniesienie uprawnień i ostateczne eksploatowanie.
Ci przeciwnicy korzystają ze skryptu powłoki o nazwie „vurl”, aby pobierać ładunki z kontrolowanej infrastruktury. Skrypt „vurl” pobiera skompilowany w Base64 plik wykonywalny oraz trzeci skrypt powłoki do dalszych niegodziwych działań. Ekspert bezpieczeństwa Matt Muir potwierdził, że plik wykonywalny nadużywa skryptu przez wbudowane domeny sterujące poleceniami.
Binarna wersja stworzona w języku Golang, odpowiednio nazwana „chkstart”, wydaje się ułatwiać zdolności malweru do konfigurowania zdalnego dostępu i pobierania dodatkowych narzędzi, które obejmują archiwum „m.tar” oraz polecenie „top”, ukrywając w nim koparkę XMRig.
Dodatkowe moduły malware, takie jak „exeremo”, ułatwiają boczne przemieszczanie się po sieciach i wspomagają rozprzestrzenianie się infekcji, podczas gdy inna binarna wersja w języku Go o nazwie „fkoths” jest zaprojektowana do usuwania śladów włamania i utrudnienia analizy.
Najnowsza faza wprowadza także skrypt powłoki „s.sh”, aby skonfigurować narzędzia skanowania zdolne do identyfikacji i oznaczania systemów zagrożonych.
Ogólnie rzecz biorąc, ewolucja tej kampanii demonstruje ciągłe wykorzystywanie podatnych hostów Dockera do ataków cybernetycznych oraz adaptację ładunków malware w celu utrudnienia dochodzeń kryminalistycznych.
Istotne dodatkowe fakty:
– Docker to otwarta platforma do tworzenia, dostarczania i uruchamiania aplikacji, która wykorzystuje wirtualizację na poziomie systemu operacyjnego do dostarczania oprogramowania w pakietach zwanymi kontenerami.
– Kopanie kryptowalut (cryptojacking) to nielegalna działalność, przy której atakujący przejmuje zasoby komputerowe celu, aby kopać kryptowalutę.
– Popularność Dockera i jego interfejsów API jako celów ataków cryptojacking wynika z faktu, że wiele wdrożeń nie jest poprawnie zabezpieczonych, co pozostawia je narażone w internecie bez wystarczających mechanizmów uwierzytelniania.
– Rozwój chmury obliczeniowej doprowadził do wzrostu tego rodzaju ataków, ponieważ wiele organizacji przenosi się do chmury nie rozumiejąc w pełni lub nie wdrożywszy najlepszych praktyk bezpieczeństwa.
– Możliwość szybkiego uruchomienia, wyłączenia i skalowania kontenerów sprawia, że środowiska Dockera są atrakcyjne dla cryptojackerów, gdyż mogą one wykorzystać wiele kontenerów do swoich operacji kopania, jak tylko zyskają dostęp.
Kluczowe pytania i odpowiedzi:
– Czym jest cryptojacking? Cryptojacking to nieautoryzowane wykorzystanie mocy obliczeniowej cudzego komputera do kopania kryptowalut. Atakujący zazwyczaj wykonują to poprzez zainfekowanie systemu malwarem, który cicho kopie kryptowaluty lub poprzez wykorzystanie podatnych aplikacji internetowych.
– W jaki sposób atakujący wykorzystują interfejsy API Dockera do cryptojackingu? Atakujący wykorzystują interfejsy API Dockera, znajdując narażone API, które nie są chronione przez uwierzytelnienie. Następnie używają tych punktów dostępu do wdrażania kontenerów, które uruchamiają oprogramowanie do kopania kryptowalut, takie jak XMRig do kopania Monero.
Wyzwania i kontrowersje:
– Błędy konfiguracji zabezpieczeń: Jednym z największych wyzwań jest zapewnienie, że interfejsy API Dockera są poprawnie skonfigurowane i zabezpieczone silnym uwierzytelnieniem, aby zapobiec nieautoryzowanemu dostępowi.
– Wykrywanie i Reakcja: Identyfikowanie naruszonych kontenerów i określenie zakresu ataku może być trudne, ponieważ atakujący wykorzystują różne techniki do ukrycia swojego śladu i przedłużenia swoich złośliwych działań.
– Najlepsze praktyki: W środowisku zajmującym się cyberbezpieczeństwem toczy się ciągła debata na temat najlepszych praktyk dotyczących wdrażania i zarządzania kontenerami Dockera oraz zabezpieczania środowisk chmurowych przed tego rodzaju atakami.
Zalety i Wady:
– Zalety:
– Przenośność i łatwość użycia Dockera sprawiają, że jest on korzystny dla programistów i organizacji, które chcą szybko wdrażać aplikacje.
– Kontenery mogą prowadzić do wydajniejszego wykorzystania zasobów w porównaniu do tradycyjnych środowisk wirtualizacji.
– Wady:
– Jeśli nie są zabezpieczone poprawnie, kontenery Dockera i interfejsy API mogą stanowić punkty wejścia dla atakujących, aby uruchamiać cryptojacking i inne złośliwe operacje.
– Narastająca złożoność ataków może sprawić, że wykrycie ich stanie się trudne, ponieważ atakujący stale doskonalą swoje metody, aby uniknąć środków bezpieczeństwa.
Dla dalszej lektury o nowych zagrożeniach w krajobrazie cyberbezpieczeństwa skonsultuj się z zasobami renomowanych organizacji branżowych:
– Amerykańska Agencja Cyberbezpieczeństwa i Ochrony Infrastruktury (CISA)
– Europol
Prosimy upewnij się, że odwiedzasz te strony bezpośrednio, wpisując adres URL do przeglądarki, aby uniknąć stron phishingowych lub oszukańczych.