Οι ερευνητές στον τομέα της κυβερνοασφάλειας αποκάλυψαν μια νέα εκστρατεία malware (κακόβουλου λογισμικού) που στοχεύει δημόσια εκτεθειμένα τελικά σημεία του Docker API.
Ο στόχος αυτής της εκστρατείας είναι η εξόρυξη κρυπτονομισμάτων και η παράδοση άλλων κακόβουλων φορτίων.
Δείτε σχετικά: Το Commando Cat Cryptojacking στοχεύει Docker Instances
Μεταξύ των εργαλείων που έχουν αναπτυχθεί, συμπεριλαμβάνεται ένα εργαλείο απομακρυσμένης πρόσβασης που μπορεί να κατεβάζει και να εκτελεί επιπλέον κακόβουλα προγράμματα, καθώς και ένα βοηθητικό πρόγραμμα για τη διάδοση κακόβουλου λογισμικού μέσω SSH, όπως ανέφερε η πλατφόρμα ανάλυσης cloud Datadog σε μια αναφορά που δημοσιεύθηκε την περασμένη εβδομάδα.
Η ανάλυση της καμπάνιας αποκάλυψε τακτικές που επαναλαμβάνονται από μια προηγούμενη δραστηριότητα, γνωστή ως Spinning YARN. Αυτή η δραστηριότητα είχε στόχο εσφαλμένες υπηρεσίες όπως Apache Hadoop YARN, Docker, Atlassian Confluence και Redis για σκοπούς εξόρυξης κρυπτονομισμάτων.
Η επίθεση ξεκινά όταν οι παράγοντες απειλής εντοπίζουν Docker servers με εκτεθειμένες θύρες (αριθμός θύρας 2375). Ακολουθεί μια σειρά βημάτων, ξεκινώντας με την αναγνώριση και την κλιμάκωση των προνομίων, πριν προχωρήσουν στη φάση εκμετάλλευσης.
Δείτε περισσότερα: Ο Cox διόρθωσε ευπάθεια API auth bypass σε εκατομμύρια modem
Τα ωφέλιμα φορτία ανακτώνται από υποδομή που ελέγχεται από τον χάκερ μέσω της εκτέλεσης ενός shell script με το όνομα “vurl”. Αυτό το σενάριο περιλαμβάνει ένα άλλο, με όνομα “b.sh”, το οποίο συσκευάζει ένα δυαδικό αρχείο κωδικοποιημένο σε Base64 που ονομάζεται επίσης “vurl”. Το “b.sh” είναι επίσης υπεύθυνο για την ανάκτηση και εκκίνηση ενός τρίτου σεναρίου φλοιού, γνωστού ως “ar.sh” (ή “ai.sh”).
«Το [‘b.sh’] script αποκωδικοποιεί και εξάγει αυτό το δυαδικό αρχείο στο /usr/bin/vurl, αντικαθιστώντας την υπάρχουσα έκδοση shell script», εξήγησε ο ερευνητής ασφαλείας Matt Muir. «Αυτό το binary διαφέρει από την shell script έκδοση, καθώς χρησιμοποιεί hard-coded domains».
Το shell script, “ar.sh”, εκτελεί έναν αριθμό ενεργειών, συμπεριλαμβανομένης της δημιουργίας ενός καταλόγου εργασίας, της εγκατάστασης εργαλείων για τη σάρωση του διαδικτύου για ευάλωτους κεντρικούς υπολογιστές, την απενεργοποίηση του τείχους προστασίας (firewall) και, τελικά, την ανάκτηση του ωφέλιμου φορτίου επόμενου σταδίου, που αναφέρεται ως “chkstart.”
Ένα δυαδικό Golang όπως το vurl, ο κύριος στόχος του είναι να διαμορφώσει τον κεντρικό υπολογιστή για απομακρυσμένη πρόσβαση και να φέρει πρόσθετα εργαλεία, συμπεριλαμβανομένων των “m.tar” και “top,” από έναν απομακρυσμένο server, ο τελευταίος από τον οποίο είναι ένας XMRig miner.
Διαβάστε ακόμη: Κρίσιμα ελαττώματα ασφαλείας παρατηρήθηκαν στο Judge0
“Στην αρχική Spinning YARN εκστρατεία, μεγάλο μέρος της λειτουργικότητας του chkstart αντιμετωπιζόταν από shell scripts, εξήγησε ο Muir. “Η μεταφορά αυτής της λειτουργικότητας σε κώδικα Go θα μπορούσε να υποδηλώνει ότι ο χάκερ επιχειρεί να περιπλέξει τη διαδικασία ανάλυσης, καθώς η στατική ανάλυση του μεταγλωττισμένου κώδικα είναι σημαντικά πιο δύσκολη από τα shell scripts.”Η λήψη μαζί με το “chkstart” είναι δύο άλλα ωφέλιμα φορτία που ονομάζονται exeremo, τα οποία χρησιμοποιούνται για να μετακινηθούν πλευρικά σε περισσότερους κεντρικούς υπολογιστές και να εξαπλωθεί η μόλυνση, και το fkoths, ένα ELF binary που βασίζεται στο Go για να διαγράψει ίχνη της κακόβουλης δραστηριότητας και να αντισταθεί στις προσπάθειες ανάλυσης.
Το “Exeremo” είναι επίσης σχεδιασμένο να εκτελεί ένα shell script (“s.sh”), το οποίο αναλαμβάνει την εγκατάσταση διαφόρων scanning εργαλείων, όπως το pnscan, το masscan και ενός προσαρμοσμένου σαρωτή Docker (“sd/httpd”), για τον εντοπισμό ευαίσθητων συστημάτων.
Διαβάστε επίσης: Cryptojacking εκστρατεία στοχεύει εσφαλμένα διαμορφωμένα συμπλέγματα Kubernetes
“Η ενημέρωση της Spinning YARN καμπάνιας δείχνει μια συνεχή πρόθεση να στοχεύουν λανθασμένα διαμορφωμένους κεντρικούς υπολογιστές Docker για αρχική πρόσβαση,” δήλωσε ο Muir. “Ο απειλητικός παράγοντας πίσω από αυτή την εκστρατεία συνεχίζει να εξελίσσει τα ωφέλιμα φορτία, μεταφέροντας τη λειτουργικότητα στο Go. Αυτό μπορεί να υποδηλώνει προσπάθεια παρεμπόδισης της διαδικασίας ανάλυσης ή πειραματισμό με πολλαπλές κατασκευές”.
Πηγή: thehackernews
 που στοχεύει δημόσια εκτεθειμένα τελικά σημεία του Docker API.){kind=link}