Specjaliści z dziedziny cyberbezpieczeństwa odkryli złożoną operację malware’u, polegającą na atakowaniu odkrytych punktów końcowych interfejsu API Docker. Ta złośliwa kampania ma głównie na celu rozpowszechnianie oprogramowania do wydobywania kryptowalut, wraz z innymi niebezpiecznymi ładunkami.
Ważne narzędzia wykorzystywane w tej operacji obejmują instrument do zdalnego dostępu zdolny do pobierania dodatkowego oprogramowania malware, a także narzędzie do rozpowszechniania złośliwego kodu za pomocą SSH, jak wynika z ostatniego raportu firmy analitycznej chmur Datadog.
Badacze zauważyli podobieństwa między tą i wcześniejszą kampanią znana jako Spinning YARN, która również wykorzystywała źle skonfigurowane usługi, takie jak Apache Hadoop YARN, Docker, Atlassian Confluence i Redis do kryptojackingu.
Atakujący rozpoczynają swoje działania, identyfikując serwery Docker bez zabezpieczeń, używając określonych otwartych portów do rozpoczęcia wieloetapowego ataku, który obejmuje rozpoznanie, podniesienie uprawnień i ostatecznie eksploatację.
Tych przeciwników wykorzystują skrypt powłoki o nazwie „vurl” do pobierania ładunków z kontrolowanej infrastruktury. Skrypt „vurl” pobiera skompilowane w Base64 wykonywalne pliki oraz trzeci skrypt powłoki do dalszych nieuczciwych działań. Ekspert ds. bezpieczeństwa Matt Muir potwierdził, że wykonalny plik oszukuje skrypt w swoim wykorzystaniu osadzonych domen poleceń i kontroli.
Binarny plik oparty na Go, odpowiednio nazwany „chkstart”, zdaje się ułatwiać zdolność malware’u do konfigurowania zdalnego dostępu i pobierania dodatkowych narzędzi, w tym archiwum „m.tar” i polecenie „top”, maskując górnika XMRig wewnętrznie.
Dodatkowe moduły malware, takie jak „exeremo”, ułatwiają lateralne przemieszczanie się po sieciach i pomagają w rozprzestrzenianiu się infekcji, podczas gdy inny binarny plik Go o nazwie „fkoths” jest przeznaczony do usuwania śladów włamania i utrudniania analizy.
Najnowsza faza wprowadza także skrypt powłoki „s.sh”, aby skonfigurować narzędzia skanujące zdolne do identyfikowania i ostrzegania przed narażonymi systemami.
Ogólnie rzecz biorąc, ewolucja tej kampanii pokazuje dalsze wykorzystywanie podatnych hostów Docker do ataków cybernetycznych i adaptację ładunków malware’u w celu utrudnienia śledztw kryminalistycznych.
Relevant Additional Facts:
– Docker to otwarta platforma do tworzenia, wysyłania i uruchamiania aplikacji, która wykorzystuje wirtualizację na poziomie systemu operacyjnego do dostarczania oprogramowania w pakietach zwanych kontenerami.
– Kryptojacking to nielegalna działalność, w której atakujący przejmuje zasoby obliczeniowe celu, aby wydobywać kryptowaluty.
– Powszechność Dockera i jego interfejsów API jako celów do kryptojackingu wynika z faktu, że wiele wdrożeń nie jest odpowiednio zabezpieczonych, pozostawiając je wystawione w Internecie bez wystarczających mechanizmów uwierzytelniania.
– Wzrost obliczeniowy spowodował wzrost tego rodzaju ataków, ponieważ wiele organizacji przenosi się do chmur bez pełnego zrozumienia lub wdrożenia najlepszych praktyk z zakresu bezpieczeństwa.
– Tłumaczyć, że kontenery można łatwo uruchamiać, wyłączać i skalować, co sprawia, że środowiska Dockera są atrakcyjne dla kryptojackerów, gdyż mogą oni wykorzystać wiele kontenerów do swoich operacji wydobywczych po uzyskaniu dostępu.
Key Questions and Answers:
– Czym jest kryptojacking? Kryptojacking to nieuprawnione użycie mocy obliczeniowej cudzego komputera do wydobywania kryptowaluty. Atakujący zazwyczaj robią to, zainfekowując system malware’em, który cicho wydobywa kryptowaluty lub wykorzystując podatne aplikacje internetowe.
– W jaki sposób atakujący wykorzystują interfejsy API Dockera do kryptojackingu? Atakujący wykorzystują interfejsy API Dockera, znajdując niewłaściwie zabezpieczone interfejsy, których nie chroni autentykacja. Następnie używają tych punktów dostępu do wdrażania kontenerów, w których uruchamiane jest oprogramowanie do wydobywania kryptowalut, takie jak XMRig do wydobycia Monero.
Key Challenges and Controversies:
– Nieprawidłowe Skonfigurowanie Bezpieczeństwa: Jednym z największych wyzwań jest zapewnienie poprawnej konfiguracji API Dockera i zabezpieczenie go silną autentykacją, aby zapobiec nieautoryzowanemu dostępowi.
– Wykrywanie i Reakcja: Identyfikacja kompromitowanych kontenerów i określenie zakresu ataku może być trudne, ponieważ atakujący stosują różne techniki do ukrycia swoich śladów i przedłużenia swoich złośliwych działań.
– Najlepsze Praktyki: W społeczności cyberbezpieczeństwa prowadzona jest ciągła debata na temat najlepszych praktyk w zakresie wdrażania i zarządzania kontenerami Dockera oraz zabezpieczania środowisk chmurowych przed tego rodzaju atakami.
Advantages and Disadvantages:
– Advantages:
– Możliwość przenoszenia i łatwość użycia Dockera sprawiają, że jest to korzystne dla programistów i organizacji do szybkiego wdrażania aplikacji.
– Kontenery mogą prowadzić do bardziej efektywnego wykorzystania zasobów w porównaniu do tradycyjnych środowisk wirtualizacji.
– Disadvantages:
– Jeśli nie są poprawnie zabezpieczone, kontenery Dockera i ich interfejsy API mogą stanowić punkty wejścia dla atakujących do uruchamiania kryptojackingu i innych złośliwych operacji.
– Coraz większa skomplikowanie ataków może sprawić, że wykrycie ich stanie się trudne, gdyż atakujący nieustannie rozwijają swoje metody, aby unikać środków bezpieczeństwa.
Aby uzyskać więcej informacji na temat emerging threats w cyberbezpieczeństwie, zapoznaj się z zasobami renomowanych organizacji branżowych:
– US Cybersecurity and Infrastructure Security Agency (CISA)
– Europol
Pamiętaj, aby zawsze odwiedzać te strony bezpośrednio, wpisując URL w przeglądarce, aby uniknąć phishingu lub oszukańczych witryn.