{"id":1163383,"date":"2024-02-01T16:10:25","date_gmt":"2024-02-01T16:10:25","guid":{"rendered":"https:\/\/teknomers.com\/es\/api-de-docker-expuestas-bajo-ataque-en-la-campana-de-criptojacking-commando-cat\/"},"modified":"2024-02-01T16:10:29","modified_gmt":"2024-02-01T16:10:29","slug":"api-de-docker-expuestas-bajo-ataque-en-la-campana-de-criptojacking-commando-cat","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/api-de-docker-expuestas-bajo-ataque-en-la-campana-de-criptojacking-commando-cat\/","title":{"rendered":"API de Docker expuestas bajo ataque en la campa\u00f1a de criptojacking &#8216;Commando Cat&#8217;"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">01 de febrero de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Criptojacking \/ Seguridad de Linux<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/API-de-Docker-expuestas-bajo-ataque-en-la-campana-de.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Los puntos finales de la API de Docker expuestos en Internet est\u00e1n siendo atacados por una sofisticada campa\u00f1a de criptojacking llamada <strong>Gato comando<\/strong>.<\/p>\n<p>&#8220;La campa\u00f1a despliega un contenedor benigno generado utilizando el <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/lukaszlach\/commando\" target=\"_blank\">Proyecto comando<\/a>&#8220;, investigadores de seguridad de Cado, Nate Bill y Matt Muir. <a rel=\"nofollow noopener\" href=\"https:\/\/www.cadosecurity.com\/the-nine-lives-of-commando-cat-analysing-a-novel-malware-campaign-targeting-docker\/\" target=\"_blank\">dicho<\/a> en un nuevo informe publicado hoy.  &#8220;El atacante <a rel=\"nofollow noopener\" href=\"https:\/\/www.cybereason.com\/blog\/container-escape-all-you-need-is-cap-capabilities\" target=\"_blank\">escapa de este contenedor<\/a> y ejecuta m\u00faltiples cargas \u00fatiles en el host Docker&#8221;.<\/p>\n<p>Se cree que la campa\u00f1a ha estado activa desde principios de 2024, lo que la convierte en la segunda campa\u00f1a de este tipo descubierta en otros tantos meses.  A mediados de enero, la empresa de seguridad en la nube tambi\u00e9n arroj\u00f3 luz sobre otro grupo de actividades que apunta a hosts Docker vulnerables para implementar el minero de criptomonedas XMRig, as\u00ed como el software 9Hits Viewer.<\/p>\n<p>Commando Cat emplea Docker como vector de acceso inicial para entregar una colecci\u00f3n de cargas \u00fatiles interdependientes desde un servidor controlado por el actor que es responsable de registrar la persistencia, abrir puertas traseras al host, filtrar las credenciales del proveedor de servicios en la nube (CSP) y lanzar el minero.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Los-ataques-DDoS-a-la-industria-de-servicios-medioambientales-aumentaran.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Posteriormente se abusa del punto de apoyo obtenido al violar instancias susceptibles de Docker para implementar un contenedor inofensivo utilizando la herramienta de c\u00f3digo abierto Commando y ejecutar un comando malicioso que le permite escapar de los l\u00edmites del contenedor a trav\u00e9s del comando chroot.<\/p>\n<p>Tambi\u00e9n ejecuta una serie de comprobaciones para determinar si los servicios denominados &#8220;sys-kernel-debugger&#8221;, https:\/\/thehackernews.com\/2024\/02\/&#8221;gsc&#8221;, https:\/\/thehackernews.com\/2024\/02\/&#8221;c3pool_miner ,&#8221; y &#8220;dockercache&#8221; est\u00e1n activos en el sistema comprometido y pasan a la siguiente etapa solo si se supera este paso.<\/p>\n<p>&#8220;El prop\u00f3sito de la verificaci\u00f3n de sys-kernel-debugger no est\u00e1 claro: este servicio no se utiliza en ninguna parte del malware ni forma parte de Linux&#8221;, dijeron los investigadores.  &#8220;Es posible que el servicio sea parte de otra campa\u00f1a con la que el atacante no quiera competir&#8221;.<\/p>\n<p>La fase siguiente implica eliminar cargas \u00fatiles adicionales del servidor de comando y control (C2), incluida una puerta trasera de script de shell (user.sh) que es capaz de agregar una clave SSH al <a rel=\"nofollow noopener\" href=\"https:\/\/www.digitalocean.com\/community\/tutorials\/how-to-configure-ssh-key-based-authentication-on-a-linux-server\" target=\"_blank\">~\/.ssh\/archivo Authorized_keys<\/a> y crear un usuario fraudulento llamado &#8220;juegos&#8221; con una contrase\u00f1a conocida por el atacante e incluirla en el <a rel=\"nofollow noopener\" href=\"https:\/\/www.digitalocean.com\/community\/tutorials\/how-to-edit-the-sudoers-file\" target=\"_blank\">archivo \/etc\/sudoers<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1706803823_952_API-de-Docker-expuestas-bajo-ataque-en-la-campana-de.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1706803823_952_API-de-Docker-expuestas-bajo-ataque-en-la-campana-de.jpg\" alt=\"Campa\u00f1a de criptojacking\" border=\"0\" data-original-height=\"488\" data-original-width=\"728\" title=\"Campa\u00f1a de criptojacking\"\/><\/a><\/div>\n<p>Tambi\u00e9n se entregan de manera similar tres scripts de shell m\u00e1s (tshd.sh, gsc.sh, aws.sh) que est\u00e1n dise\u00f1ados para eliminar Tiny SHell y una versi\u00f3n improvisada de <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Netcat\" target=\"_blank\">netcat<\/a> llamado gs-netcat y exfiltrar las credenciales<\/p>\n<p>Los actores de amenazas &#8220;ejecutan un comando en el contenedor cmd.cat\/chattr que recupera la carga \u00fatil de su propia infraestructura C2&#8221;, dijo Muir a The Hacker News, se\u00f1alando que esto se logra usando curl o wget y canalizando la carga \u00fatil resultante directamente al bash. shell de comando.<\/p>\n<p>&#8220;En lugar de utilizar \/tmp, [gsc.sh] tambi\u00e9n usa <a rel=\"nofollow noopener\" href=\"https:\/\/www.elastic.co\/security-labs\/a-peek-behind-the-bpfdoor\" target=\"_blank\">\/dev\/shm<\/a> &#8220;En su lugar, act\u00faa como un almac\u00e9n de archivos temporal pero con respaldo de memoria&#8221;, dijeron los investigadores. &#8220;Es posible que se trate de un mecanismo de evasi\u00f3n, ya que es mucho m\u00e1s com\u00fan que el malware use \/tmp&#8221;.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/Advertencia-surge-nuevo-malware-en-ataques-que-explotan-las-vulnerabilidades.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Esto tambi\u00e9n da como resultado que los artefactos no toquen el disco, lo que dificulta un poco la investigaci\u00f3n forense. Esta t\u00e9cnica se ha utilizado antes en BPFdoor, un programa de alto perfil <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/vinfo\/us\/security\/news\/threat-landscape\/how-bpf-enabled-malware-works-bracing-for-emerging-threats\" target=\"_blank\">campa\u00f1a de linux<\/a>&#8220;.<\/p>\n<p>El ataque culmina con la implementaci\u00f3n de otra carga \u00fatil que se entrega directamente como un script codificado en Base64 en lugar de recuperarse del servidor C2, lo que, a su vez, descarta el minero de criptomonedas XMRig, no sin antes eliminar los procesos mineros competidores de la m\u00e1quina infectada.<\/p>\n<p>Los or\u00edgenes exactos del actor de amenazas detr\u00e1s de Commando Cat no est\u00e1n claros actualmente, aunque se ha observado que los scripts de shell y la direcci\u00f3n IP C2 se superponen con aquellos vinculados a grupos de criptojacking como TeamTNT en el pasado, lo que plantea la posibilidad de que pueda ser un grupo imitador. .<\/p>\n<p>&#8220;El malware funciona como un ladr\u00f3n de credenciales, una puerta trasera altamente sigilosa y un minero de criptomonedas, todo en uno&#8221;, dijeron los investigadores.  &#8220;Esto lo hace vers\u00e1til y capaz de extraer el mayor valor posible de las m\u00e1quinas infectadas&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/exposed-docker-apis-under-attack-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80201 de febrero de 2024\ue804Sala de redacci\u00f3nCriptojacking \/ Seguridad de Linux Los puntos finales de la API de<\/p>\n","protected":false},"author":1,"featured_media":1163384,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,10367,1247,4661,5200,3372,45810,184221,4664,152848,109530,26506,4662,4668,201033,4654,201031,4659,4653,4655,4666,4665,201032,4660],"class_list":["post-1163383","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-api","tag-ataque","tag-ataques-ciberneticos","tag-bajo","tag-campana","tag-cat","tag-commando","tag-como-hackear","tag-criptojacking","tag-docker","tag-expuestas","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1163383","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1163383"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1163383\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1163384"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1163383"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1163383"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1163383"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}