APIs Docker Expostas sob Ataque na Campanha 'Commando Cat' de Cryptojacking
2 de Fevereiro de 2024

Os pontos finais da API do Docker expostos na internet estão sob ataque de uma sofisticada campanha de cripto-aumento chamada Commando Cat.

"A campanha implanta um contêiner benigno gerado usando o projeto Commando", disseram os pesquisadores de segurança Cado Nate Bill e Matt Muir em um novo relatório publicado hoje.

"O agressor escapa deste contêiner e executa múltiplos payloads no host Docker." Acredita-se que a campanha esteja ativa desde o início de 2024, tornando-se a segunda campanha do tipo a ser descoberta em tantos meses.

Em meados de janeiro, a empresa de segurança em nuvem também lançou luz sobre outro aglomerado de atividades que tem como alvo hosts Docker vulneráveis para implantação do minerador de criptomoedas XMRig, bem como o software 9Hits Viewer.

O Commando Cat usa o Docker como um vetor de acesso inicial para entregar uma coleção de payloads interdependentes de um servidor controlado pelo agressor, responsável por registrar persistência, fazer backdoor no host, exfiltrar credenciais do provedor de serviço em nuvem (CSP) e lançar o minerador.

A base obtida ao violar instâncias Docker suscetíveis é subsequentemente abusada para implantar um contêiner inofensivo usando a ferramenta de código aberto Commando e executar um comando malicioso que lhe permite escapar dos limites do contêiner via comando chroot.

Também são efetuadas uma série de verificações para determinar se os serviços denominados "sys-kernel-debugger", "gsc", "c3pool_miner" e "dockercache" estão ativos no sistema comprometido, e prosseguem para a próxima etapa apenas se esta etapa passar.

"A finalidade da verificação para sys-kernel-debugger é incerta - este serviço não é usado em nenhum lugar no malware, nem faz parte do Linux", disseram os pesquisadores.

"É possível que o serviço faça parte de outra campanha que o agressor não queira competir."

A fase sucessiva envolve soltar payloads adicionais do servidor de comando e controle (C2), incluindo um backdoor de script de shell (user.sh) capaz de adicionar uma chave SSH ao arquivo ~/.ssh/authorized_keys e criar um usuário desonesto chamado "games" com uma senha conhecida pelo atacante e incluí-lo no arquivo /etc/sudoers.

Entregues de maneira semelhante estão mais três scripts de shell - tshd.sh, gsc.sh, aws.sh - projetados para largar o Tiny SHell e uma versão improvisada de netcat chamada gs-netcat, e exfiltrar credenciais.

Os atores da ameaça "executam um comando no contêiner cmd.cat/chattr que recupera o payload de sua própria infraestrutura C2", disse Muir ao The Hacker News, observando que isso é alcançado usando curl ou wget e canalizando o payload resultante diretamente para o shell de comando bash.

"Em vez de usar /tmp, [gsc.sh] também usa /dev/shm em vez disso, que atua como uma loja de arquivos temporários, mas suportada por memória", disseram os pesquisadores.

"É possível que isso seja um mecanismo de evasão, pois é muito mais comum para o malware usar /tmp."

"Isso também resulta em que os artefatos não tocam no disco, tornando a forense um pouco mais difícil.

Esta técnica já foi usada antes no BPFdoor - uma campanha Linux de alto perfil."

O ataque culmina na implantação de outro payload que é entregue diretamente como um script codificado em Base64 em oposição a ser recuperado do servidor C2, que, por sua vez, solta o minerador de criptomoedas XMRig, mas não antes de eliminar os processos mineradores competidores da máquina infectada.

As origens exatas do ator da ameaça por trás do Commando Cat são atualmente incertas, embora os scripts shell e o endereço IP C2 tenham sido observados como sendo uma cópia dos grupos de criptojacking como TeamTNT no passado, aumentando a possibilidade de que seja um grupo imitador.

"O malware funciona como um ladrão de credenciais, backdoor altamente furtivo e minerador de criptomoedas tudo em um", disseram os pesquisadores.

"Isso o torna versátil e capaz de extrair o máximo de valor das máquinas infectadas."

Achou este artigo interessante? Siga-nos no Twitter e no LinkedIn para ler mais conteúdo exclusivo que postamos.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...