{"id":1242391,"date":"2024-06-18T10:27:16","date_gmt":"2024-06-18T10:27:16","guid":{"rendered":"https:\/\/teknomers.com\/es\/nuevo-malware-apunta-a-las-api-de-docker-expuestas-para-la-mineria-de-criptomonedas\/"},"modified":"2024-06-18T10:27:21","modified_gmt":"2024-06-18T10:27:21","slug":"nuevo-malware-apunta-a-las-api-de-docker-expuestas-para-la-mineria-de-criptomonedas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nuevo-malware-apunta-a-las-api-de-docker-expuestas-para-la-mineria-de-criptomonedas\/","title":{"rendered":"Nuevo malware apunta a las API de Docker expuestas para la miner\u00eda de criptomonedas"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>18 de junio de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Vulnerabilidad \/ Criptojacking<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Investigadores de ciberseguridad han descubierto una nueva campa\u00f1a de malware dirigida a puntos finales de Docket API expuestos p\u00fablicamente con el objetivo de entregar mineros de criptomonedas y otras cargas \u00fatiles.<\/p>\n

Entre las herramientas implementadas se incluye una herramienta de acceso remoto capaz de descargar y ejecutar m\u00e1s programas maliciosos, as\u00ed como una utilidad para propagar el malware a trav\u00e9s de SSH, la plataforma de an\u00e1lisis en la nube Datadog. dicho<\/a> en un informe publicado la semana pasada.<\/p>\n

El an\u00e1lisis de la campa\u00f1a ha descubierto superposiciones t\u00e1cticas con una actividad anterior denominada Spinning YARN, que se observ\u00f3 dirigida a servicios Apache Hadoop YARN, Docker, Atlassian Confluence y Redis mal configurados con fines de criptojacking.<\/p>\n

\"La<\/a><\/center><\/div>\n

El ataque comienza cuando los actores de amenazas se concentran en los servidores Docker con puertos expuestos (n\u00famero de puerto 2375) para iniciar una serie de pasos, comenzando con el reconocimiento y la escalada de privilegios antes de pasar a la fase de explotaci\u00f3n.<\/p>\n

Las cargas \u00fatiles se recuperan de la infraestructura controlada por el adversario mediante la ejecuci\u00f3n de un script de shell llamado “vurl”. Esto incluye otro script de shell llamado “b.sh” que, a su vez, contiene un binario codificado en Base64 llamado “vurl” y tambi\u00e9n es responsable de buscar y ejecutar un tercer script de shell conocido como “ar.sh” (o “ai. sh”).<\/p>\n

“El [‘b.sh’] “El script decodifica y extrae este binario a \/usr\/bin\/vurl, sobrescribiendo la versi\u00f3n del script de shell existente”, dijo el investigador de seguridad Matt Muir. “Este binario se diferencia de la versi\u00f3n del script de shell en el uso de c\u00f3digo r\u00edgido [command-and-control] dominios.”<\/p>\n

El script de shell, “ar.sh”, realiza una serie de acciones, incluida la configuraci\u00f3n de un directorio de trabajo, la instalaci\u00f3n de herramientas para escanear Internet en busca de hosts vulnerables, la desactivaci\u00f3n del firewall y, en \u00faltima instancia, la recuperaci\u00f3n de la carga \u00fatil de la siguiente etapa, denominada “chkstart”. “.<\/p>\n

\"API<\/a><\/div>\n

Un binario de Golang como vurl, su objetivo principal es configurar el host para acceso remoto y recuperar herramientas adicionales, incluidas “m.tar” y “top”, de un servidor remoto, el \u00faltimo de los cuales es un minero XMRig.<\/p>\n

“En la campa\u00f1a original de Spinning YARN, gran parte de la funcionalidad de chkstart se manejaba mediante scripts de shell”, explic\u00f3 Muir. “Transferir esta funcionalidad al c\u00f3digo Go podr\u00eda sugerir que el atacante est\u00e1 intentando complicar el proceso de an\u00e1lisis, ya que el an\u00e1lisis est\u00e1tico del c\u00f3digo compilado es significativamente m\u00e1s dif\u00edcil que los scripts de shell”.<\/p>\n

\"La<\/a><\/center><\/div>\n

Junto con “chkstart” se descargan otras dos cargas \u00fatiles llamadas exeremo, que se utiliza para moverse lateralmente a m\u00e1s hosts y propagar la infecci\u00f3n, y fkoths, un binario ELF basado en Go para borrar rastros de actividad maliciosa y resistir los esfuerzos de an\u00e1lisis.<\/p>\n

“Exeremo” tambi\u00e9n est\u00e1 dise\u00f1ado para colocar un script de shell (“s.sh”) que se encarga de instalar varias herramientas de escaneo como pnscan, masscan y un esc\u00e1ner Docker personalizado (“sd\/httpd”) para marcar sistemas susceptibles.<\/p>\n

“Esta actualizaci\u00f3n de la campa\u00f1a Spinning YARN muestra la voluntad de continuar atacando hosts Docker mal configurados para el acceso inicial”, dijo Muir. “El actor de amenazas detr\u00e1s de esta campa\u00f1a contin\u00faa iterando sobre las cargas \u00fatiles implementadas al trasladar la funcionalidad a Go, lo que podr\u00eda indicar un intento de obstaculizar el proceso de an\u00e1lisis o apuntar a la experimentaci\u00f3n con compilaciones de m\u00faltiples arquitecturas”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n