{"id":1235485,"date":"2024-06-13T05:17:52","date_gmt":"2024-06-13T05:17:52","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-ataques-de-criptojacking-de-commando-cat-se-dirigen-a-instancias-de-docker-mal-configuradas\/"},"modified":"2024-06-13T05:17:57","modified_gmt":"2024-06-13T05:17:57","slug":"los-ataques-de-criptojacking-de-commando-cat-se-dirigen-a-instancias-de-docker-mal-configuradas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-ataques-de-criptojacking-de-commando-cat-se-dirigen-a-instancias-de-docker-mal-configuradas\/","title":{"rendered":"Los ataques de criptojacking de Commando Cat se dirigen a instancias de Docker mal configuradas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">07 de junio de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Criptojacking \/ Vulnerabilidad<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Los-ataques-de-criptojacking-de-Commando-Cat-se-dirigen-a.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>El actor de amenazas conocido como <strong>Gato comando<\/strong> se ha vinculado a una campa\u00f1a de ataque de criptojacking en curso que aprovecha instancias de Docker mal protegidas para implementar mineros de criptomonedas para obtener ganancias financieras.<\/p>\n<p>&#8220;Los atacantes utilizaron el contenedor de im\u00e1genes acoplable cmd.cat\/chattr que recupera la carga \u00fatil de su propia infraestructura de comando y control (C&#038;C)&#8221;, dijeron los investigadores de Trend Micro Sunil Bharti y Shubham Singh. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_no\/research\/24\/f\/commando-cat-a-novel-cryptojacking-attack-.html\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis del jueves.<\/p>\n<p>Commando Cat, llamado as\u00ed por su uso del proyecto Commando de c\u00f3digo abierto para generar un contenedor benigno, fue documentado por primera vez a principios de este a\u00f1o por Cado Security.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/1p-d-v3\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/1718090157_926_Snowflake-Breach-expone-los-datos-de-165-clientes-en-una.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Los ataques se caracterizan por apuntar a servidores API remotos de Docker mal configurados para implementar una imagen de Docker llamada cmd.cat\/chattr, que luego se usa como base para crear una instancia de un contenedor y salir de sus l\u00edmites usando el comando chroot, y obtener acceso. al sistema operativo anfitri\u00f3n.<\/p>\n<p>El \u00faltimo paso implica recuperar el binario minero malicioso usando un comando curl o wget desde un servidor C&#038;C (&#8220;leetdbs.anondns[.]net\/z&#8221;) mediante un script de shell. Se sospecha que el binario es ZiggyStarTux, un bot IRC de c\u00f3digo abierto basado en el malware Kaiten (tambi\u00e9n conocido como Tsunami).<\/p>\n<p>&#8220;La importancia de esta campa\u00f1a de ataque radica en el uso de im\u00e1genes de Docker para implementar scripts de criptojacking en sistemas comprometidos&#8221;, dijeron los investigadores.  &#8220;Esta t\u00e1ctica permite a los atacantes explotar vulnerabilidades en las configuraciones de Docker mientras evaden la detecci\u00f3n del software de seguridad&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/1718255870_451_Los-ataques-de-criptojacking-de-Commando-Cat-se-dirigen-a.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/1718255870_451_Los-ataques-de-criptojacking-de-Commando-Cat-se-dirigen-a.png\" alt=\"Instancias Docker mal configuradas\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" title=\"Instancias Docker mal configuradas\"\/><\/a><\/div>\n<p>La divulgaci\u00f3n se produce cuando Akamai revel\u00f3 que fallas de seguridad de a\u00f1os en aplicaciones ThinkPHP (por ejemplo, <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2018-20062\" target=\"_blank\">CVE-2018-20062<\/a> y <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2019-9082\" target=\"_blank\">CVE-2019-9082<\/a>) est\u00e1n siendo explotados por un presunto actor de amenazas de habla china para entregar un shell web denominado Dama como parte de una campa\u00f1a que ha estado en marcha desde el 17 de octubre de 2023.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/1718255871_42_Los-ataques-de-criptojacking-de-Commando-Cat-se-dirigen-a.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/1718255871_42_Los-ataques-de-criptojacking-de-Commando-Cat-se-dirigen-a.png\" alt=\"fallos de seguridad en ThinkPHP\" border=\"0\" data-original-height=\"509\" data-original-width=\"728\" title=\"fallos de seguridad en ThinkPHP\"\/><\/a><\/div>\n<p>&#8220;El exploit intenta recuperar c\u00f3digo ofuscado adicional de otro servidor ThinkPHP comprometido para ganar terreno inicial&#8221;, afirman los investigadores de Akamai Ron Mankivsky y Maxim Zavodchik. <a rel=\"nofollow noopener\" href=\"https:\/\/www.akamai.com\/blog\/security-research\/2024-thinkphp-applications-exploit-1-days-dama-webshell\" target=\"_blank\">dicho<\/a>.  &#8220;Despu\u00e9s de explotar con \u00e9xito el sistema, los atacantes instalar\u00e1n un shell web en idioma chino llamado Dama para mantener el acceso persistente al servidor&#8221;.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ad-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Sticky-Werewolf-amplia-los-objetivos-de-los-ciberataques-en-Rusia.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El web shell est\u00e1 equipado con varias capacidades avanzadas para recopilar datos del sistema, cargar archivos, escanear puertos de red, escalar privilegios y navegar por el sistema de archivos, lo \u00faltimo de lo cual permite a los actores de amenazas realizar operaciones como edici\u00f3n de archivos, eliminaci\u00f3n y modificaci\u00f3n de marcas de tiempo para fines de ofuscaci\u00f3n.<\/p>\n<p>&#8220;Los recientes ataques originados por un adversario de habla china resaltan una tendencia actual de atacantes que utilizan un shell web completo, dise\u00f1ado para un control avanzado de las v\u00edctimas&#8221;, se\u00f1alaron los investigadores.  &#8220;Curiosamente, no todos los clientes objetivo utilizaban ThinkPHP, lo que sugiere que los atacantes pueden estar apuntando indiscriminadamente a una amplia gama de sistemas&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/commando-cat-cryptojacking-attacks.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80207 de junio de 2024\ue804Sala de redacci\u00f3nCriptojacking \/ Vulnerabilidad El actor de amenazas conocido como Gato comando se<\/p>\n","protected":false},"author":1,"featured_media":1235486,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2346,4661,45810,184221,4664,236650,152848,13132,109530,4662,16853,4668,201033,36,8975,4654,201031,4659,4653,4655,4666,4665,201032,4660],"class_list":["post-1235485","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-cat","tag-commando","tag-como-hackear","tag-configuradas","tag-criptojacking","tag-dirigen","tag-docker","tag-filtracion-de-datos","tag-instancias","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-mal","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1235485","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1235485"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1235485\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1235486"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1235485"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1235485"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1235485"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}