LemonDuck, una botnet de miner\u00eda de criptomonedas multiplataforma, apunta a Docker para extraer criptomonedas en sistemas Linux como parte de una campa\u00f1a activa de malware.<\/p>\n
“Ejecuta una operaci\u00f3n de miner\u00eda an\u00f3nima mediante el uso de grupos de proxy, que ocultan las direcciones de la billetera”, CrowdStrike dicho<\/a> en un nuevo informe. “Evade la detecci\u00f3n al apuntar al servicio de monitoreo de Alibaba Cloud y deshabilitarlo”.<\/p>\n Conocido por atacar entornos Windows y Linux, LemonDuck est\u00e1 dise\u00f1ado principalmente para abusar de los recursos del sistema para minar Monero. Pero tambi\u00e9n es capaz de robo de credenciales, movimiento lateral y facilita el despliegue de cargas \u00fatiles adicionales para actividades de seguimiento.<\/p>\n “Utiliza una amplia gama de mecanismos de difusi\u00f3n (correos electr\u00f3nicos de phishing, exploits, dispositivos USB, fuerza bruta, entre otros) y ha demostrado que puede aprovechar r\u00e1pidamente noticias, eventos o el lanzamiento de nuevos exploits para ejecutar campa\u00f1as efectivas. Microsoft detall\u00f3 en un informe t\u00e9cnico sobre el malware en julio pasado. <\/p>\n A principios de 2021, cadenas de ataque que involucran a LemonDuck apalancado<\/a> las vulnerabilidades de Exchange Server reci\u00e9n parcheadas para obtener acceso a m\u00e1quinas Windows obsoletas, antes de descargar puertas traseras y ladrones de informaci\u00f3n, incluido Ramnit.<\/p>\n La \u00faltima campa\u00f1a detectada por CrowdStrike aprovecha las API de Docker expuestas como un vector de acceso inicial, utiliz\u00e1ndolas para ejecutar un contenedor falso para recuperar un archivo de script de shell Bash que est\u00e1 disfrazado como un archivo de imagen PNG inofensivo desde un servidor remoto.<\/p>\n Un an\u00e1lisis de datos hist\u00f3ricos muestra que el actor de amenazas ha utilizado droppers de archivos de im\u00e1genes similares alojados en dominios asociados con LemonDuck desde al menos enero de 2021, se\u00f1al\u00f3 la firma de ciberseguridad.<\/p>\n Los archivos del cuentagotas son clave para lanzar el ataque, con el script de shell descargando la carga \u00fatil real que luego elimina los procesos de la competencia, desactiva los servicios de monitoreo de Alibaba Cloud y finalmente descarga y ejecuta el minero de monedas XMRig.<\/p>\n Dado que las instancias en la nube comprometidas se convierten en un semillero de actividades il\u00edcitas de miner\u00eda de criptomonedas, los hallazgos subrayan la necesidad de proteger los contenedores de posibles riesgos a lo largo de la cadena de suministro de software.<\/p>\n La divulgaci\u00f3n se produce cuando Cisco Talos expuso el conjunto de herramientas de un grupo de delitos cibern\u00e9ticos llamado TeamTNT, que tiene un historial de apuntar a la infraestructura de la nube para el criptojacking y la colocaci\u00f3n de puertas traseras.<\/p>\n Las cargas \u00fatiles de malware, que se dice que se modificaron en respuesta a divulgaciones p\u00fablicas anteriores<\/a>est\u00e1n dise\u00f1ados principalmente para apuntar a Amazon Web Services (AWS) y, al mismo tiempo, se centran en la miner\u00eda de criptomonedas, la persistencia, el movimiento lateral y la desactivaci\u00f3n de soluciones de seguridad en la nube.<\/p>\n “Los ciberdelincuentes que son descubiertos por los investigadores de seguridad deben actualizar sus herramientas para continuar operando con \u00e9xito”, dijo el investigador de Talos, Darin Smith. dicho<\/a>.<\/p>\n “Las herramientas utilizadas por TeamTNT demuestran que los ciberdelincuentes se sienten cada vez m\u00e1s c\u00f3modos atacando entornos modernos como Docker, Kubernetes y proveedores de nube p\u00fablica, que tradicionalmente han sido evitados por otros ciberdelincuentes que se han centrado en entornos locales o m\u00f3viles”.<\/p>\n Eso no es todo. En otro ejemplo m\u00e1s de c\u00f3mo los actores de amenazas cooptan r\u00e1pidamente fallas recientemente reveladas en sus ataques, el error cr\u00edtico de ejecuci\u00f3n remota de c\u00f3digo en Spring Framework (CVE-2022-22965) se ha convertido en un arma para implementar mineros de criptomonedas.<\/p>\n Los intentos de explotaci\u00f3n hacen uso de un shell web personalizado para implementar los mineros de criptomonedas, pero no antes de apagar el firewall y finalizar otros procesos de miner\u00eda de moneda virtual.<\/p>\n “Estos mineros de criptomonedas tienen el potencial de afectar a una gran cantidad de usuarios, especialmente porque Spring es el marco m\u00e1s utilizado para desarrollar aplicaciones de nivel empresarial en Java”, dijeron los investigadores de Trend Micro, Nitesh Surana y Ashish Verma. dicho<\/a>.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Error-de-pirateria-de-correo-electronico-sin-parches-de-9.png\")
<\/a><\/div>\n![\"botnet](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgnepqytFGyLXQ-se6LSQbD8dcaKtmXDuAVuPCd_sPXu7Yx48Lz-oOWavHaLTuVfJs51onI2dx2vm_sbhMbEMBmlmxd2VKQlwVynElKDwR3CU4NPjtYhIE7eAKStI5X-t0n_wmahvr1LKomSVvdEsfaiHUYHz1dDW2dYzUEwbyQLlaW27yosLkpLVHy\/s728-e1000\/docker.jpg\" "\\"botnet")
<\/div>\nTeamTNT apunta a AWS, Alibaba Cloud<\/h3>\n
![\"botnet](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650637058_556_\u00a1Cuidado-Mineros-de-criptomonedas-dirigidos-a-Dockers-AWS-y-Alibaba.jpg\" "\\"botnet")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\nSpring4Shell explotado para la miner\u00eda de criptomonedas<\/h3>\n