Los puntos finales de la API de Docker expuestos en Internet están siendo atacados por una sofisticada campaña de criptojacking llamada Gato comando.
“La campaña despliega un contenedor benigno generado utilizando el Proyecto comando“, investigadores de seguridad de Cado, Nate Bill y Matt Muir. dicho en un nuevo informe publicado hoy. “El atacante escapa de este contenedor y ejecuta múltiples cargas útiles en el host Docker”.
Se cree que la campaña ha estado activa desde principios de 2024, lo que la convierte en la segunda campaña de este tipo descubierta en otros tantos meses. A mediados de enero, la empresa de seguridad en la nube también arrojó luz sobre otro grupo de actividades que apunta a hosts Docker vulnerables para implementar el minero de criptomonedas XMRig, así como el software 9Hits Viewer.
Commando Cat emplea Docker como vector de acceso inicial para entregar una colección de cargas útiles interdependientes desde un servidor controlado por el actor que es responsable de registrar la persistencia, abrir puertas traseras al host, filtrar las credenciales del proveedor de servicios en la nube (CSP) y lanzar el minero.
Posteriormente se abusa del punto de apoyo obtenido al violar instancias susceptibles de Docker para implementar un contenedor inofensivo utilizando la herramienta de código abierto Commando y ejecutar un comando malicioso que le permite escapar de los límites del contenedor a través del comando chroot.
También ejecuta una serie de comprobaciones para determinar si los servicios denominados “sys-kernel-debugger”, https://thehackernews.com/2024/02/”gsc”, https://thehackernews.com/2024/02/”c3pool_miner ,” y “dockercache” están activos en el sistema comprometido y pasan a la siguiente etapa solo si se supera este paso.
“El propósito de la verificación de sys-kernel-debugger no está claro: este servicio no se utiliza en ninguna parte del malware ni forma parte de Linux”, dijeron los investigadores. “Es posible que el servicio sea parte de otra campaña con la que el atacante no quiera competir”.
La fase siguiente implica eliminar cargas útiles adicionales del servidor de comando y control (C2), incluida una puerta trasera de script de shell (user.sh) que es capaz de agregar una clave SSH al ~/.ssh/archivo Authorized_keys y crear un usuario fraudulento llamado “juegos” con una contraseña conocida por el atacante e incluirla en el archivo /etc/sudoers.
También se entregan de manera similar tres scripts de shell más (tshd.sh, gsc.sh, aws.sh) que están diseñados para eliminar Tiny SHell y una versión improvisada de netcat llamado gs-netcat y exfiltrar las credenciales
Los actores de amenazas “ejecutan un comando en el contenedor cmd.cat/chattr que recupera la carga útil de su propia infraestructura C2”, dijo Muir a The Hacker News, señalando que esto se logra usando curl o wget y canalizando la carga útil resultante directamente al bash. shell de comando.
“En lugar de utilizar /tmp, [gsc.sh] también usa /dev/shm “En su lugar, actúa como un almacén de archivos temporal pero con respaldo de memoria”, dijeron los investigadores. “Es posible que se trate de un mecanismo de evasión, ya que es mucho más común que el malware use /tmp”.
“Esto también da como resultado que los artefactos no toquen el disco, lo que dificulta un poco la investigación forense. Esta técnica se ha utilizado antes en BPFdoor, un programa de alto perfil campaña de linux“.
El ataque culmina con la implementación de otra carga útil que se entrega directamente como un script codificado en Base64 en lugar de recuperarse del servidor C2, lo que, a su vez, descarta el minero de criptomonedas XMRig, no sin antes eliminar los procesos mineros competidores de la máquina infectada.
Los orígenes exactos del actor de amenazas detrás de Commando Cat no están claros actualmente, aunque se ha observado que los scripts de shell y la dirección IP C2 se superponen con aquellos vinculados a grupos de criptojacking como TeamTNT en el pasado, lo que plantea la posibilidad de que pueda ser un grupo imitador. .
“El malware funciona como un ladrón de credenciales, una puerta trasera altamente sigilosa y un minero de criptomonedas, todo en uno”, dijeron los investigadores. “Esto lo hace versátil y capaz de extraer el mayor valor posible de las máquinas infectadas”.