Les points de terminaison de l’API Docker exposés sur Internet sont attaqués par une campagne sophistiquée de cryptojacking appelée Chat Commando.
« La campagne déploie un conteneur inoffensif généré à l’aide du Projet Commando« , Nate Bill et Matt Muir, chercheurs en sécurité chez Cado dit dans un nouveau rapport publié aujourd’hui. « L’attaquant échappe à ce conteneur et exécute plusieurs charges utiles sur l’hôte Docker. »
On pense que la campagne est active depuis le début de 2024, ce qui en fait la deuxième campagne de ce type découverte en autant de mois. À la mi-janvier, la société de sécurité cloud a également mis en lumière un autre cluster d’activités qui cible les hôtes Docker vulnérables pour déployer le mineur de crypto-monnaie XMRig ainsi que le logiciel 9Hits Viewer.
Commando Cat utilise Docker comme vecteur d’accès initial pour fournir une collection de charges utiles interdépendantes à partir d’un serveur contrôlé par un acteur responsable de l’enregistrement de la persistance, de la porte dérobée de l’hôte, de l’exfiltration des informations d’identification du fournisseur de services cloud (CSP) et du lancement du mineur.
L’avantage obtenu en violant les instances Docker sensibles est ensuite exploité pour déployer un conteneur inoffensif à l’aide de l’outil open source Commando et exécuter une commande malveillante qui lui permet de s’échapper des limites du conteneur via la commande chroot.
Il exécute également une série de vérifications pour déterminer si les services nommés « sys-kernel-debugger », « gsc », « c3pool_miner » et « dockercache » sont actifs sur le système compromis, et passe à l’étape suivante uniquement si cette étape réussit. .
« Le but de la vérification de sys-kernel-debugger n’est pas clair : ce service n’est utilisé nulle part dans le malware et ne fait pas non plus partie de Linux », ont déclaré les chercheurs. « Il est possible que le service fasse partie d’une autre campagne avec laquelle l’attaquant ne veut pas rivaliser. »
La phase suivante implique la suppression de charges utiles supplémentaires du serveur de commande et de contrôle (C2), y compris une porte dérobée de script shell (user.sh) capable d’ajouter une clé SSH au serveur de commande et de contrôle. Fichier ~/.ssh/authorized_keys et créer un utilisateur malveillant nommé « jeux » avec un mot de passe connu de l’attaquant et l’inclure dans le Fichier /etc/sudoers.
Trois autres scripts shell – tshd.sh, gsc.sh, aws.sh – sont également fournis de la même manière, conçus pour supprimer Tiny SHell et une version improvisée de chat net appelé gs-netcat et exfiltrer les informations d’identification
Les acteurs de la menace « exécutent une commande sur le conteneur cmd.cat/chattr qui récupère la charge utile de leur propre infrastructure C2 », a déclaré Muir à The Hacker News, notant que cela est réalisé en utilisant curl ou wget et en acheminant la charge utile résultante directement dans le bash. shell de commande.
« Au lieu d’utiliser /tmp, [gsc.sh] utilise également /dev/shm « Il s’agit plutôt d’un stockage de fichiers temporaire, mais d’une mémoire sauvegardée », ont déclaré les chercheurs. « Il est possible qu’il s’agisse d’un mécanisme d’évasion, car il est beaucoup plus courant que les logiciels malveillants utilisent /tmp. »
« Cela a également pour conséquence que les artefacts ne touchent pas le disque, ce qui rend les analyses judiciaires un peu plus difficiles. Cette technique a déjà été utilisée dans BPFdoor – une technique très médiatisée. Campagne Linux« .
L’attaque aboutit au déploiement d’une autre charge utile qui est livrée directement sous forme de script codé en Base64 au lieu d’être récupérée à partir du serveur C2, qui, à son tour, supprime le mineur de crypto-monnaie XMRig, mais pas avant d’avoir éliminé les processus mineurs concurrents de la machine infectée.
Les origines exactes de l’acteur menaçant derrière Commando Cat ne sont pas claires pour le moment, bien que les scripts shell et l’adresse IP C2 se chevauchent avec ceux liés à des groupes de cryptojacking comme TeamTNT dans le passé, ce qui soulève la possibilité qu’il s’agisse d’un groupe copieur. .
« Le malware fonctionne à la fois comme un voleur d’informations d’identification, une porte dérobée hautement furtive et un mineur de cryptomonnaie », ont déclaré les chercheurs. « Cela le rend polyvalent et capable d’extraire autant de valeur que possible des machines infectées. »