Os especialistas em cibersegurança descobriram uma operação de malware sofisticado que envolve o direcionamento de pontos de extremidade da API Docker expostos. Essa campanha maliciosa tem como principal objetivo a distribuição de software de mineração de criptomoedas, juntamente com outras cargas perigosas.
Ferramentas importantes utilizadas nesta operação incluem um instrumento de acesso remoto capaz de baixar malware adicional, bem como um utilitário para disseminar o código malicioso via SSH, conforme revelado em um relatório recente da empresa de análise de nuvem Datadog.
Os pesquisadores observaram semelhanças entre esta e uma campanha anterior conhecida como “Spinning YARN”, que também explorava serviços mal configurados como Apache Hadoop YARN, Docker, Atlassian Confluence e Redis para cryptojacking.
Os atacantes iniciam seu esquema identificando servidores Docker desprotegidos, utilizando portas abertas específicas para iniciar um ataque de várias etapas que inclui reconhecimento, elevação de privilégios e exploração eventual.
Esses adversários usam um script de shell chamado “vurl” para adquirir cargas úteis de uma infraestrutura controlada. O script “vurl” busca um executável codificado em Base64 e um terceiro script de shell para mais ações nefastas. O especialista em segurança Matt Muir confirmou que o executável usurpa o script em seu uso de domínios de comando e controle incorporados.
O binário baseado em Golang, adequadamente chamado “chkstart”, parece simplificar a capacidade do malware de configurar o acesso remoto e baixar ferramentas adicionais, que incluem um arquivo “m.tar” e o comando “top”, disfarçando um minerador XMRig.
Módulos de malware adicionais, como “exeremo”, facilitam o movimento lateral através das redes e ajudam na propagação da infecção, enquanto “fkoths”, outro binário baseado em Go, é projetado para eliminar evidências da intrusão e frustrar a análise.
A fase mais recente também introduz um script de shell, “s.sh”, para configurar utilitários de verificação capazes de identificar e sinalizar sistemas em risco.
No geral, a evolução desta campanha demonstra a exploração contínua de hosts Docker vulneráveis para ataques cibernéticos e a adaptação de cargas de malware para obstruir investigações forenses.
Fatos Adicionais Relevantes:
– Docker é uma plataforma aberta para desenvolver, enviar e executar aplicativos, que utiliza virtualização em nível de sistema operacional para fornecer software em pacotes chamados contêineres.
– Cryptojacking é uma atividade ilegal em que um atacante sequestra recursos de computação de um alvo para minerar criptomoedas.
– A prevalência do Docker e suas APIs como alvo para cryptojacking deriva do fato de que muitas implantações não estão devidamente seguras, deixando-as expostas à internet sem mecanismos de autenticação suficientes.
– O aumento da computação em nuvem levou a um aumento nesse tipo de ataques, já que muitas organizações migram para a nuvem sem entender completamente ou implementar as melhores práticas de segurança.
– O fato de que os contêineres podem ser facilmente criados, encerrados e dimensionados torna os ambientes Docker atraentes para cryptojackers, pois podem explorar vários contêineres para suas operações de mineração uma vez que obtêm acesso.
Perguntas e Respostas Chave:
– O que é cryptojacking? Cryptojacking é o uso não autorizado do poder de processamento do computador de outra pessoa para minerar criptomoedas. Os atacantes geralmente fazem isso infectando um sistema com malware que minera criptomoedas silenciosamente ou explorando aplicativos web vulneráveis.
– Como os atacantes exploram as APIs do Docker para cryptojacking? Os atacantes exploram as APIs do Docker encontrando APIs expostas que não são protegidas por autenticação. Eles então usam esses pontos de acesso para implantar contêineres que executam software de mineração de criptomoedas, como o XMRig para minerar Monero.
Desafios e Controvérsias Chave:
– Má configuração de segurança: Um dos maiores desafios é garantir que as APIs do Docker sejam configuradas corretamente e protegidas com uma autenticação forte para evitar acesso não autorizado.
– Deteção e Resposta: Identificar contêineres comprometidos e determinar o alcance de um ataque pode ser desafiador, pois os atacantes usam várias técnicas para ocultar sua pegada e prolongar suas atividades maliciosas.
– Melhores Práticas: Há um debate contínuo dentro da comunidade de cibersegurança sobre as melhores práticas para implantar e gerenciar contêineres Docker e proteger ambientes de nuvem contra tais ataques.
Vantagens e Desvantagens:
– Vantagens:
– A portabilidade e facilidade de uso do Docker tornam-no benéfico para desenvolvedores e organizações implantarem rapidamente aplicativos.
– Os contêineres podem levar a uma utilização mais eficiente de recursos em comparação com ambientes virtualizados tradicionais.
– Desvantagens:
– Se não forem protegidos corretamente, os contêineres e APIs do Docker podem ser pontos de entrada para atacantes lançarem cryptojacking e outras operações maliciosas.
– A crescente sofisticação dos ataques pode dificultar a detecção, pois os atacantes estão continuamente evoluindo seus métodos para evitar medidas de segurança.
Para mais leituras sobre ameaças emergentes no cenário de cibersegurança, consulte recursos de organizações respeitáveis do setor:
– Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA)
– Europol
Certifique-se sempre de visitar esses sites diretamente digitando a URL em seu navegador para evitar phishing ou sites fraudulentos.