{"id":1383526,"date":"2024-10-01T07:18:31","date_gmt":"2024-10-01T07:18:31","guid":{"rendered":"https:\/\/teknomers.com\/es\/nuevo-ataque-de-criptojacking-apunta-a-la-api-de-docker-para-crear-una-botnet-de-enjambre-maliciosa\/"},"modified":"2024-10-01T07:18:36","modified_gmt":"2024-10-01T07:18:36","slug":"nuevo-ataque-de-criptojacking-apunta-a-la-api-de-docker-para-crear-una-botnet-de-enjambre-maliciosa","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nuevo-ataque-de-criptojacking-apunta-a-la-api-de-docker-para-crear-una-botnet-de-enjambre-maliciosa\/","title":{"rendered":"Nuevo ataque de criptojacking apunta a la API de Docker para crear una botnet de enjambre maliciosa"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Nuevo-ataque-de-criptojacking-apunta-a-la-API-de-Docker.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad han descubierto una nueva campa\u00f1a de criptojacking dirigida a la API de Docker Engine con el objetivo de cooptar las instancias para unirse a un Docker Swarm malicioso controlado por el actor de amenazas.<\/p>\n<p>Esto permiti\u00f3 a los atacantes &#8220;utilizar las funciones de orquestaci\u00f3n de Docker Swarm con fines de comando y control (C2)&#8221;, dijeron los investigadores de Datadog Matt Muir y Andy Giron. <a rel=\"nofollow noopener\" href=\"https:\/\/securitylabs.datadoghq.com\/articles\/threat-actors-leveraging-docker-swarm-kubernetes-mine-cryptocurrency\/\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis.<\/p>\n<p>Los ataques aprovechan Docker para obtener acceso inicial para implementar un minero de criptomonedas en contenedores comprometidos, al mismo tiempo que obtienen y ejecutan cargas \u00fatiles adicionales que son responsables de realizar el movimiento lateral a hosts relacionados que ejecutan Docker, Kubernetes o SSH.<\/p>\n<p>Espec\u00edficamente, esto implica identificar puntos finales de Docker API expuestos y no autenticados utilizando herramientas de escaneo de Internet, como Masscan y ZGrab.<\/p>\n<p>En puntos finales vulnerables, la API de Docker se utiliza para generar un contenedor Alpine y luego recuperar un script de shell de inicializaci\u00f3n (init.sh) desde un servidor remoto (&#8220;solscan[.]live&#8221;) que, a su vez, verifica si se est\u00e1 ejecutando como usuario root y si las herramientas como curl y wget est\u00e1n instaladas antes de descargar el minero XMRig.<\/p>\n<p>Al igual que otras campa\u00f1as de criptojacking, utiliza el rootkit libprocesshider para ocultar el proceso minero malicioso al usuario cuando ejecuta herramientas de enumeraci\u00f3n de procesos como top y ps.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/huntress-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1727076560_257_El-nuevo-malware-PondRAT-oculto-en-paquetes-Python-ataca-a.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El script de shell tambi\u00e9n est\u00e1 dise\u00f1ado para recuperar otros tres scripts de shell (kube.lateral.sh, spread_docker_local.sh y spread_ssh.sh) del mismo servidor para el movimiento lateral a los puntos finales Docker, Kubernetes y SSH en la red.<\/p>\n<p>Spread_docker_local.sh &#8220;usa masscan y zgrab para escanear los mismos rangos de LAN [&#8230;] para nodos con los puertos 2375, 2376, 2377, 4244 y 4243 abiertos&#8221;, dijeron los investigadores. &#8220;Estos puertos est\u00e1n asociados con Docker Engine o Docker Swarm&#8221;.<\/p>\n<p>&#8220;Para cualquier IP descubierta con los puertos de destino abiertos, el malware intenta generar un nuevo contenedor con el nombre alpine. Este contenedor se basa en una imagen llamada upspin, alojada en Docker Hub por el usuario nmlmweb3&#8221;.<\/p>\n<p>La imagen upspin est\u00e1 dise\u00f1ada para ejecutar el script init.sh antes mencionado, permitiendo as\u00ed que el malware del grupo se propague en forma de gusano a otros hosts Docker.<\/p>\n<p>Es m\u00e1s, la etiqueta de imagen de Docker que se utiliza para recuperar la imagen de Docker Hub se especifica en un archivo de texto alojado en el servidor C2, lo que permite a los actores de amenazas recuperarse f\u00e1cilmente de posibles eliminaciones simplemente cambiando el contenido del archivo para que apunte a otro diferente. imagen del contenedor.<\/p>\n<p>El tercer script de shell, spread_ssh.sh, es capaz de comprometer servidores SSH, adem\u00e1s de agregar una clave SSH y un nuevo usuario llamado ftp que permite a los actores de amenazas conectarse de forma remota a los hosts y mantener un acceso persistente.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727767110_840_Nuevo-ataque-de-criptojacking-apunta-a-la-API-de-Docker.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727767110_840_Nuevo-ataque-de-criptojacking-apunta-a-la-API-de-Docker.png\" alt=\"Ataque de criptojacking\" border=\"0\" data-original-height=\"600\" data-original-width=\"728\" title=\"Ataque de criptojacking\"\/><\/a><\/div>\n<p>Tambi\u00e9n busca varios archivos de credenciales relacionados con SSH, Amazon Web Services (AWS), Google Cloud y Samba en rutas de archivos codificadas dentro del entorno de GitHub Codespaces (es decir, el directorio &#8220;\/home\/codespace\/&#8221;), y si encontrados, los sube al servidor C2.<\/p>\n<p>En la etapa final, las cargas \u00fatiles de movimiento lateral de Kubernetes y SSH ejecutan otro script de shell llamado setup_mr.sh que recupera e inicia el minero de criptomonedas.<\/p>\n<p>Datadog dijo que tambi\u00e9n descubri\u00f3 otros tres scripts alojados en el servidor C2:<\/p>\n<ul>\n<li>ar.sh, una variante de init.sh que modifica las reglas de iptables y borra registros y trabajos cron para evadir la detecci\u00f3n.<\/li>\n<li>TDGINIT.sh, que descarga herramientas de escaneo y coloca un contenedor malicioso en cada host Docker identificado.<\/li>\n<li>pdflushs.sh, que instala una puerta trasera persistente agregando una clave SSH controlada por un actor de amenazas al archivo \/root\/.ssh\/authorized_keys<\/li>\n<\/ul>\n<p>TDGINIT.sh tambi\u00e9n se destaca por su manipulaci\u00f3n de Docker Swarm al obligar al host a abandonar cualquier Swarm existente del que pueda formar parte y agregarlo a un nuevo Swarm bajo el control del atacante.<\/p>\n<p>&#8220;Esto permite al actor de amenazas expandir su control sobre m\u00faltiples instancias de Docker de manera coordinada, convirtiendo efectivamente los sistemas comprometidos en una botnet para una mayor explotaci\u00f3n&#8221;, dijeron los investigadores.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-cis-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Hackers-norcoreanos-utilizan-rootkit-FudModule-a-traves-de-exploit-de.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Actualmente no est\u00e1 claro qui\u00e9n est\u00e1 detr\u00e1s de la campa\u00f1a de ataque, aunque las t\u00e1cticas, t\u00e9cnicas y procedimientos mostrados se superponen con los de un conocido grupo de amenazas conocido como TeamTNT.<\/p>\n<p>&#8220;Esta campa\u00f1a demuestra que servicios como Docker y Kubernetes siguen siendo fruct\u00edferos para los actores de amenazas que realizan criptojacking a escala&#8221;, dijo Datadog.<\/p>\n<p>&#8220;La campa\u00f1a se basa en que los puntos finales de la API de Docker est\u00e9n expuestos a Internet sin autenticaci\u00f3n. La capacidad del malware para propagarse r\u00e1pidamente significa que incluso si las posibilidades de acceso inicial son relativamente escasas, las recompensas son lo suficientemente altas como para mantener a los grupos de malware centrados en la nube lo suficientemente motivados para &#8220;Continuar realizando estos ataques&#8221;.<\/p>\n<p>El desarrollo se produce cuando Elastic Security Labs arroja luz sobre una sofisticada campa\u00f1a de malware para Linux dirigida a servidores Apache vulnerables para establecer persistencia a trav\u00e9s de GSocket e implementar familias de malware como Kaiji y RUDEDEVIL (tambi\u00e9n conocido como Lucifer) que facilitan la denegaci\u00f3n de servicio distribuido (DDoS) y las criptomonedas. miner\u00eda, respectivamente.<\/p>\n<p>&#8220;La campa\u00f1a REF6138 involucr\u00f3 criptominer\u00eda, ataques DDoS y posible lavado de dinero a trav\u00e9s de API de juegos de azar, destacando el uso por parte de los atacantes de malware en evoluci\u00f3n y canales de comunicaci\u00f3n sigilosos&#8221;, investigadores Remco Sprooten y Ruben Groenewoud <a rel=\"nofollow noopener\" href=\"https:\/\/www.elastic.co\/security-labs\/betting-on-bots\" target=\"_blank\">dicho<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/10\/new-cryptojacking-attack-targets-docker.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los investigadores de ciberseguridad han descubierto una nueva campa\u00f1a de criptojacking dirigida a la API de Docker Engine<\/p>\n","protected":false},"author":1,"featured_media":1383527,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,10367,2490,1247,4661,5895,4664,2690,152848,109530,52748,201033,11113,4654,201031,4659,4653,4655,480,18,246983,255454,246984,201032,158,246982,4660],"class_list":["post-1383526","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-api","tag-apunta","tag-ataque","tag-ataques-ciberneticos","tag-botnet","tag-como-hackear","tag-crear","tag-criptojacking","tag-docker","tag-enjambre","tag-las-noticias-de-los-piratas-informaticos","tag-maliciosa","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevo","tag-para","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-una","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1383526","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1383526"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1383526\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1383527"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1383526"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1383526"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1383526"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}