{"id":446395,"date":"2022-10-27T23:36:25","date_gmt":"2022-10-27T23:36:25","guid":{"rendered":"https:\/\/teknomers.com\/es\/nueva-campana-de-cryptojacking-dirigida-a-instancias-vulnerables-de-docker-y-kubernetes\/"},"modified":"2022-10-27T23:36:26","modified_gmt":"2022-10-27T23:36:26","slug":"nueva-campana-de-cryptojacking-dirigida-a-instancias-vulnerables-de-docker-y-kubernetes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nueva-campana-de-cryptojacking-dirigida-a-instancias-vulnerables-de-docker-y-kubernetes\/","title":{"rendered":"Nueva campa\u00f1a de cryptojacking dirigida a instancias vulnerables de Docker y Kubernetes"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Se ha descubierto una nueva campa\u00f1a de cryptojacking dirigida a infraestructuras vulnerables de Docker y Kubernetes como parte de ataques oportunistas dise\u00f1ados para extraer criptomonedas de forma il\u00edcita.<\/p>\n<p>La empresa de ciberseguridad CrowdStrike apod\u00f3 la actividad <strong>besar a un perro<\/strong>con su infraestructura de comando y control que se superpone con los asociados con otros grupos como TeamTNT, que se sabe que atacan <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/i\/how-malicious-actors-abuse-native-linux-tools-in-their-attacks.html\" target=\"_blank\">mal configurado<\/a> Instancias de Docker y Kubernetes.<\/p>\n<p>Las intrusiones, detectadas en septiembre de 2022, obtienen su nombre de un dominio llamado &#8220;kiss.a-dog[.]top&#8221; que se usa para activar una carga \u00fatil de script de shell en el contenedor comprometido mediante un comando de Python codificado en Base64.<\/p>\n<p>&#8220;La URL utilizada en la carga \u00fatil se oscurece con barras invertidas para evitar la decodificaci\u00f3n autom\u00e1tica y la coincidencia de expresiones regulares para recuperar el dominio malicioso&#8221;, dijo Manoj Ahuje, investigador de CrowdStrike. <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/blog\/new-kiss-a-dog-cryptojacking-campaign-targets-docker-and-kubernetes\/\" target=\"_blank\">dijo<\/a> en un an\u00e1lisis t\u00e9cnico.<\/p>\n<p>Posteriormente, la cadena de ataque intenta escapar del contenedor y moverse lateralmente hacia la red violada, al mismo tiempo que toma medidas para terminar y eliminar los servicios de monitoreo en la nube.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"criptojacking\" border=\"0\" data-original-height=\"358\" data-original-width=\"728\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhmi5rQWlcjd7WO_WAapuE6nnf9axamV6Csa4g8C_E17qInP7dBrfylqu7n56h2Ah2rLtNNo31lijFzQTkUB5MLR__j7ERa5uz_Ofbz1PlXyB4xMeM9PVYzo4ELNADA8xw0-l2w5_w69yvM7B9n_uvNLlskkEc7ToU5D0cO20Bdq1VxM6GC3BjO1-m4ng\/s728-e1000\/malware-code.jpg\" title=\"criptojacking\" \/><\/div>\n<p>Como m\u00e9todos adicionales para evadir la detecci\u00f3n, la campa\u00f1a hace uso de la <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/m0nad\/Diamorphine\" target=\"_blank\">diamorfina<\/a> y <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/gianlucaborello\/libprocesshider\" target=\"_blank\">libprocesoocultar<\/a> rootkits para ocultar procesos maliciosos del usuario, el \u00faltimo de los cuales se compila como una biblioteca compartida y su <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Path_(computing)\" target=\"_blank\">sendero<\/a> se establece como el valor de la <a rel=\"nofollow noopener\" href=\"https:\/\/www.cadosecurity.com\/linux-attack-techniques-dynamic-linker-hijacking-with-ld-preload\/\" target=\"_blank\">LD_PRECARGA<\/a> Variable ambiental.<\/p>\n<p>&#8220;Esto permite a los atacantes inyectar bibliotecas compartidas maliciosas en cada proceso generado en un contenedor comprometido&#8221;, dijo Ahuje.<\/p>\n<p>El objetivo final de la campa\u00f1a es extraer criptomonedas de forma sigilosa utilizando el software de miner\u00eda XMRig, as\u00ed como instancias de Redis y Docker de puerta trasera para la miner\u00eda y otros ataques de seguimiento.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La seguridad cibern\u00e9tica\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Adolescente-de-19-anos-arrestado-por-usar-datos-filtrados-de.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>&#8220;A medida que los precios de las criptomonedas cayeron, estas campa\u00f1as se amortiguaron en los \u00faltimos meses hasta que se lanzaron varias campa\u00f1as en octubre para aprovechar un entorno de baja competencia&#8221;, se\u00f1al\u00f3 Ahuje.<\/p>\n<p>Los hallazgos tambi\u00e9n se producen cuando los investigadores de Sysdig revelaron otra operaci\u00f3n sofisticada de criptominer\u00eda denominada PURPLEURCHIN, que aprovecha el c\u00f3mputo asignado para cuentas de prueba gratuitas en GitHub, Heroku y Buddy.[.]Funciona para escalar los ataques.<\/p>\n<p>Se dice que se utilizaron hasta 30 cuentas de GitHub, 2,000 cuentas de Heroku y 900 cuentas de Buddy en la campa\u00f1a automatizada de freejacking.<\/p>\n<p>El ataque implica la creaci\u00f3n de una cuenta de GitHub controlada por un actor, cada una de las cuales contiene un repositorio que, a su vez, tiene una acci\u00f3n de GitHub para ejecutar operaciones de miner\u00eda mediante el lanzamiento de una imagen de Docker Hub.<\/p>\n<p>&#8220;El uso de cuentas gratuitas traslada el costo de ejecutar los criptomineros al proveedor de servicios&#8221;, dijeron los investigadores. <a rel=\"nofollow noopener\" href=\"https:\/\/sysdig.com\/blog\/massive-cryptomining-operation-github-actions\/\" target=\"_blank\">dijo<\/a>.  &#8220;Sin embargo, como en muchos casos de uso de fraude, el abuso de las cuentas gratuitas puede afectar a otros. Los gastos m\u00e1s altos para el proveedor generar\u00e1n precios m\u00e1s altos para sus clientes leg\u00edtimos&#8221;.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/new-cryptojacking-campaign-targeting.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se ha descubierto una nueva campa\u00f1a de cryptojacking dirigida a infraestructuras vulnerables de Docker y Kubernetes como parte<\/p>\n","protected":false},"author":1,"featured_media":446396,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,3372,4664,120459,8317,109530,4662,16853,29160,4668,4667,4654,4658,4659,4653,4655,212,4663,4666,4665,4660,5163],"class_list":["post-446395","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-campana","tag-como-hackear","tag-cryptojacking","tag-dirigida","tag-docker","tag-filtracion-de-datos","tag-instancias","tag-kubernetes","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nueva","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software","tag-vulnerables"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/446395","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=446395"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/446395\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/446396"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=446395"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=446395"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=446395"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}