Investigadores de ciberseguridad han descubierto una nueva campaña de malware dirigida a puntos finales de Docket API expuestos públicamente con el objetivo de entregar mineros de criptomonedas y otras cargas útiles.
Entre las herramientas implementadas se incluye una herramienta de acceso remoto capaz de descargar y ejecutar más programas maliciosos, así como una utilidad para propagar el malware a través de SSH, la plataforma de análisis en la nube Datadog. dicho en un informe publicado la semana pasada.
El análisis de la campaña ha descubierto superposiciones tácticas con una actividad anterior denominada Spinning YARN, que se observó dirigida a servicios Apache Hadoop YARN, Docker, Atlassian Confluence y Redis mal configurados con fines de criptojacking.
El ataque comienza cuando los actores de amenazas se concentran en los servidores Docker con puertos expuestos (número de puerto 2375) para iniciar una serie de pasos, comenzando con el reconocimiento y la escalada de privilegios antes de pasar a la fase de explotación.
Las cargas útiles se recuperan de la infraestructura controlada por el adversario mediante la ejecución de un script de shell llamado «vurl». Esto incluye otro script de shell llamado «b.sh» que, a su vez, contiene un binario codificado en Base64 llamado «vurl» y también es responsable de buscar y ejecutar un tercer script de shell conocido como «ar.sh» (o «ai. sh»).
«El [‘b.sh’] «El script decodifica y extrae este binario a /usr/bin/vurl, sobrescribiendo la versión del script de shell existente», dijo el investigador de seguridad Matt Muir. «Este binario se diferencia de la versión del script de shell en el uso de código rígido [command-and-control] dominios.»
El script de shell, «ar.sh», realiza una serie de acciones, incluida la configuración de un directorio de trabajo, la instalación de herramientas para escanear Internet en busca de hosts vulnerables, la desactivación del firewall y, en última instancia, la recuperación de la carga útil de la siguiente etapa, denominada «chkstart». «.
Un binario de Golang como vurl, su objetivo principal es configurar el host para acceso remoto y recuperar herramientas adicionales, incluidas «m.tar» y «top», de un servidor remoto, el último de los cuales es un minero XMRig.
«En la campaña original de Spinning YARN, gran parte de la funcionalidad de chkstart se manejaba mediante scripts de shell», explicó Muir. «Transferir esta funcionalidad al código Go podría sugerir que el atacante está intentando complicar el proceso de análisis, ya que el análisis estático del código compilado es significativamente más difícil que los scripts de shell».
Junto con «chkstart» se descargan otras dos cargas útiles llamadas exeremo, que se utiliza para moverse lateralmente a más hosts y propagar la infección, y fkoths, un binario ELF basado en Go para borrar rastros de actividad maliciosa y resistir los esfuerzos de análisis.
«Exeremo» también está diseñado para colocar un script de shell («s.sh») que se encarga de instalar varias herramientas de escaneo como pnscan, masscan y un escáner Docker personalizado («sd/httpd») para marcar sistemas susceptibles.
«Esta actualización de la campaña Spinning YARN muestra la voluntad de continuar atacando hosts Docker mal configurados para el acceso inicial», dijo Muir. «El actor de amenazas detrás de esta campaña continúa iterando sobre las cargas útiles implementadas al trasladar la funcionalidad a Go, lo que podría indicar un intento de obstaculizar el proceso de análisis o apuntar a la experimentación con compilaciones de múltiples arquitecturas».