Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias El grupo de hackers WatchDog lanza una nueva campaña de cryptojacking de Docker

El grupo de hackers WatchDog lanza una nueva campaña de cryptojacking de Docker

por Dragora

El grupo de piratería WatchDog está llevando a cabo una nueva campaña de cryptojacking con técnicas avanzadas para la intrusión, la propagación similar a un gusano y la evasión del software de seguridad.

El grupo de piratería tiene como objetivo los puntos finales expuestos de la API del motor Docker y los servidores Redis y puede pasar rápidamente de una máquina comprometida a toda la red.

El objetivo de los actores de amenazas es generar ganancias extrayendo criptomonedas utilizando los recursos computacionales disponibles de servidores con poca seguridad.

Los investigadores de Cado Labs descubrieron la nueva campaña de piratería, analizando las tácticas distintivas del actor de amenazas y confían en su atribución a WatchDog.

Un ataque en varias etapas

WatchDog lanza los ataques al comprometer los puntos finales de la API de Docker Engine mal configurados con un puerto abierto 2375, dándoles acceso al daemon en la configuración predeterminada.

A partir de ahí, WatchDog puede enumerar o modificar contenedores y ejecutar comandos de shell arbitrarios en ellos. El primer script de shell que ejecutan los piratas informáticos es «cronb.sh», que verifica el estado de infección del host, enumera los procesos y obtiene la carga útil de la segunda etapa, «ar.sh».

Descripción general del ataque de WatchDog
Descripción general del ataque WatchDog (Cado)

Esta segunda secuencia de comandos utiliza el secuestro de comandos ps para ejecutar un proceso que oculta la secuencia de comandos de shell. Además, realiza la manipulación de marcas de tiempo («timestomping») en los registros de ejecución de shell para engañar a los expertos forenses.

Esa carga útil también contiene un eliminador de Alibaba Cloud Agent para deshabilitar el sistema de seguridad en el servicio en la nube en particular.

Deshabilitar la seguridad de Alibaba
Deshabilitar la seguridad de Alibaba (Cado)

Finalmente, se coloca una carga útil del minero XMRig en la máquina comprometida y se agrega una unidad de servicio systemd para la persistencia. Para que todo esto suceda, la cuenta de usuario aprovechada por los piratas informáticos debe tener privilegios de root.

La carga útil de la tercera etapa incorpora zgrab, masscan y pnscan para buscar puntos de pivote válidos en la red y descarga los dos scripts finales responsables de la propagación, «c.sh» y «d.sh».

Estos se almacenan en un directorio recién creado llamado «…», que es fácil pasar por alto debido a su apariencia similar al alias del directorio principal, lo que hace que sea más probable que se pase por alto durante una inspección.

El directorio creado se mezcla con el resto
El directorio creado se fusiona con el resto (Cado)

 

El primer script, «c.sh», deshabilita SELinux y configura «ulimit» e «iptables» para establecer comunicación con los servidores Redis en la red mientras corta todos los demás accesos desde el exterior.

Escaneo de servidores Redis
Búsqueda de servidores Redis (Cado)

El segundo script, «d.sh», es similar, pero en lugar de Redis, se dirige a otros puntos finales de la API de Docker Engine y los infecta con un contenedor Alpine Linux interconectado que ejecuta el script de acceso inicial, «cronb.sh».

Atribución

Muchas de las secuencias de comandos utilizadas por WatchDog contienen logotipos y referencias de un grupo de piratería rival conocido como TeamTNT, lo que indica que WatchDog probablemente robó las herramientas de su rival.

Impresión TeamTNT ASCII
Impresión TeamTNT ASCII en el script (Cado)

Cado destaca varios puntos fuertes que indican una superposición con la campaña 2021 de WatchDog, como usar la misma dirección de billetera Monero para la minería, usar nombres de directorio b2f628 en las URL y usar el dominio oracle zzhreceive[.]top, y el uso de 1.0.4.tar. gz para la entrega de la carga útil.

Además, los actores ahora evitan usar las cargas útiles de Golang que Cado Security vinculó de manera única a ellos, otra pista de atribución más.

Fuente: https://www.bleepingcomputer.com

You may also like

Dejar Comentario

Click to listen highlighted text!