Investigadores de ciberseguridad han detectado una nueva campaña de criptojacking que se dirige a la API de Docker Engine, con el fin de apoderarse de instancias y hacerlas parte de un Docker Swarm malicioso controlado por un actor de amenazas.

Esto permite a los atacantes aprovechar las funciones de orquestación de Docker Swarm para fines de comando y control (C2), según el análisis realizado por Matt Muir y Andy Giron de Datadog.

Los ataques utilizan Docker para obtener acceso inicial e implementar un minero de criptomonedas en contenedores comprometidos, al mismo tiempo que ejecutan cargas útiles adicionales que facilitan el movimiento lateral hacia otros hosts que usan Docker, Kubernetes o SSH.

El ataque se basa en identificar puntos finales de la API de Docker que no están autenticados y que están expuestos, utilizando herramientas de escaneo como masscan y ZGrab.

En los puntos vulnerables, la API de Docker genera un contenedor Alpine y descarga un script de shell (init.sh) desde un servidor remoto (“solscan[.]live”). Este script verifica si se está ejecutando como usuario root y si herramientas como curl y wget están instaladas, antes de descargar el minero XMRig.

Similar a otras campañas de criptojacking, se emplea el rootkit libprocesshider para ocultar el proceso del minero al usuario cuando se utilizan herramientas de enumeración de procesos como top y ps.

El script de shell también busca otros tres scripts (kube.lateral.sh, spread_docker_local.sh y spread_ssh.sh) en el mismo servidor, facilitando el movimiento lateral hacia puntos finales de Docker, Kubernetes y SSH.

El script spread_docker_local.sh escanea rangos de LAN en busca de nodos con puertos específicos abiertos, asociados a Docker Engine o Docker Swarm.

Para cada dirección IP encontrada con estos puertos abiertos, el malware intenta crear un nuevo contenedor llamado alpine, basado en una imagen llamada upspin en Docker Hub, lo que permite que el malware se propague a otros hosts de Docker.

La etiqueta de imagen utilizada se especifica en un archivo de texto en el servidor C2, permitiendo a los atacantes recuperarse de eliminaciones cambiando el contenido del archivo para apuntar a otra imagen.

El script spread_ssh.sh puede comprometer servidores SSH, agregando una clave SSH y un nuevo usuario llamado ftp para mantener el acceso remoto a los hosts. También busca archivos de credenciales relacionadas con SSH, AWS, Google Cloud y Samba en rutas codificadas en GitHub Codespaces, y si los encuentra, los carga en el servidor C2.

Finalmente, las cargas útiles de movimiento lateral para Kubernetes y SSH ejecutan otro script llamado setup_mr.sh que descarga y lanza el minero de criptomonedas.

Datadog también identificó otros tres scripts en el servidor C2:

  • ar.sh, que modifica reglas de iptables y borra registros para evadir detección.
  • TDGINIT.sh, que descarga herramientas de escaneo y coloca un contenedor malicioso en cada host Docker.
  • pdflushs.sh, que instala una puerta trasera persistente al agregar una clave SSH controlada por el atacante al archivo /root/.ssh/authorized_keys.

TDGINIT.sh también manipula Docker Swarm, haciendo que el host abandone cualquier Swarm existente y se una a uno nuevo controlado por el atacante, lo que amplía su control sobre múltiples instancias de Docker.

Aunque no está claro quién está detrás de esta campaña, las tácticas y técnicas utilizadas son similares a las de un grupo conocido como TeamTNT. Datadog destacó que esta campaña demuestra que servicios como Docker y Kubernetes siguen siendo objetivos para actores de amenazas que realizan criptojacking a gran escala, aprovechando la exposición de la API de Docker a Internet sin autenticación.

La rápida propagación del malware, incluso con pocas oportunidades de acceso inicial, sigue siendo atractiva para los grupos de malware enfocados en la nube. Este desarrollo se produce mientras Elastic Security Labs investiga una sofisticada campaña de malware de Linux dirigida a servidores Apache vulnerables, estableciendo persistencia a través de GSocket e implementando familias de malware como Kaiji y RUDEDEVIL, que facilitan ataques DDoS y minería de criptomonedas.

Los investigadores también señalaron que la campaña REF6138 involucró criptominería, ataques DDoS y posible lavado de dinero a través de API de juegos de azar, destacando el uso de malware en evolución y métodos de comunicación sigilosos por parte de los atacantes.

Fuente: thehackernews.com