Los investigadores de ciberseguridad han descubierto una infraestructura de ataque que se está utilizando como parte de una «campaña potencialmente masiva» contra los entornos nativos de la nube.
«Esta infraestructura se encuentra en las primeras etapas de prueba e implementación, y es principalmente consistente con un gusano en la nube agresivo, diseñado para implementarse en las API expuestas de JupyterLab y Docker para implementar el malware Tsunami, el secuestro de credenciales en la nube, el secuestro de recursos y una mayor infestación de la gusano», la empresa de seguridad en la nube Aqua dicho.
La actividad, denominada Bob silencioso en referencia a un dominio AnonDNS creado por el atacante, se dice que está vinculado al infame grupo de cryptojacking rastreado como TeamTNT, citando superposiciones en tácticas, técnicas y procedimientos (TTP). Sin embargo, no se ha descartado la participación de un «imitador avanzado».
La investigación de Aqua se inició después de un ataque dirigido a su honeypot a principios de junio de 2023, lo que condujo al descubrimiento de cuatro imágenes de contenedores maliciosos que están diseñadas para detectar instancias expuestas de Docker y Jupyter Lab e implementar un minero de criptomonedas, así como la puerta trasera Tsunami.
Esta hazaña se logra por medio de un script de shell que está programado para ejecutarse cuando se inicia el contenedor y se usa para implementar el sistema basado en Go. ZGrab escáner para localizar servidores mal configurados. Desde entonces, Docker eliminó las imágenes del registro público. La lista de imágenes está abajo –
- shanidmk/jltest2 (44 tirones)
- shanidmk/jltest (8 tirones)
- shanidmk/sysapp (11 extracciones)
- shanidmk/blob (29 tirones)
shanidmk/sysapp, además de ejecutar un minero de criptomonedas en el host infectado, está configurado para descargar y ejecutar binarios adicionales, que según Aqua podrían ser mineros de criptomonedas de respaldo o el malware Tsunami.
🔐 Gestión de acceso privilegiado: aprenda a superar desafíos clave
Descubra diferentes enfoques para conquistar los desafíos de la gestión de cuentas privilegiadas (PAM) y suba de nivel su estrategia de seguridad de acceso privilegiado.
El contenedor también descarga un archivo llamado «aws.sh.txt», un script que probablemente esté diseñado para escanear sistemáticamente el entorno en busca de claves de AWS para su posterior extracción.
Aqua dijo que encontró 51 servidores con instancias de JupyterLab expuestas en la naturaleza, todos los cuales han sido explotados activamente o exhibieron signos de explotación por parte de actores de amenazas. Esto incluye un «ataque manual en vivo en uno de los servidores que empleó Masscan para escanear las API de Docker expuestas».
«Inicialmente, el atacante identifica un servidor mal configurado (ya sea Docker API o JupyterLab) y despliega un contenedor o interactúa con la interfaz de línea de comandos (CLI) para buscar e identificar víctimas adicionales», dijeron los investigadores de seguridad Ofek Itach y Assaf Morag.
«Este proceso está diseñado para propagar el malware a un número cada vez mayor de servidores. La carga útil secundaria de este ataque incluye un criptominero y una puerta trasera, esta última empleando el malware Tsunami como su arma preferida».