Ataques de Cryptojacking
7 de Junho de 2024

O ator de ameaças conhecido como Commando Cat foi associado a uma campanha contínua de ataque de cryptojacking que explora instâncias mal protegidas do Docker para implantar mineradores de criptomoedas visando lucro financeiro.

"Os atacantes utilizaram o contêiner de imagem docker cmd.cat/chattr que recupera o payload de sua própria infraestrutura de comando e controle (C&C)," disseram os pesquisadores da Trend Micro, Sunil Bharti e Shubham Singh, em uma análise de quinta-feira.

Commando Cat, assim nomeado por seu uso do projeto de código aberto Commando para gerar um contêiner benigno, foi documentado pela primeira vez no início deste ano pela Cado Security.

Os ataques são caracterizados pelo direcionamento de servidores API remotos do Docker mal configurados para implantar uma imagem Docker chamada cmd.cat/chattr, que é então utilizada como base para instanciar um contêiner e sair de seus limites usando o comando chroot, e ganhar acesso ao sistema operacional hospedeiro.

O passo final envolve a recuperação do binário do minerador malicioso usando um comando curl ou wget de um servidor C&C ("leetdbs.anondns[.]net/z") por meio de um script shell.

Suspeita-se que o binário seja ZiggyStarTux, um bot de IRC de código aberto baseado no malware Kaiten (também conhecido como Tsunami).

"A importância desta campanha de ataque reside na utilização de imagens Docker para implantar scripts de cryptojacking em sistemas comprometidos," disseram os pesquisadores.

Essa tática permite aos atacantes explorar vulnerabilidades nas configurações do Docker enquanto evitam a detecção por software de segurança.

A divulgação surge enquanto a Akamai revelou que falhas de segurança antigas em aplicações ThinkPHP (por exemplo, CVE-2018-20062 e CVE-2019-9082 ) estão sendo exploradas por um suposto ator de ameaças de língua chinesa para entregar um web shell denominado Dama como parte de uma campanha que está em andamento desde 17 de outubro de 2023.

"A tentativa de exploração busca recuperar código ofuscado adicional de outro servidor ThinkPHP comprometido para ganhar um primeiro ponto de apoio," disseram os pesquisadores da Akamai, Ron Mankivsky e Maxim Zavodchik.

Após explorar com sucesso o sistema, os atacantes instalarão um web shell em língua chinesa denominado Dama para manter acesso persistente ao servidor.

O web shell está equipado com várias capacidades avançadas para coletar dados do sistema, fazer upload de arquivos, escanear portas de rede, escalar privilégios e navegar pelo sistema de arquivos, o que permite aos atores de ameaças realizar operações como edição, exclusão e modificação de carimbos de tempo de arquivos para fins de ofuscação.

"Os ataques recentes originados por um adversário de língua chinesa destacam uma tendência contínua de atacantes utilizando um web shell completo, projetado para controle avançado da vítima," observaram os pesquisadores.

Interessantemente, nem todos os clientes visados estavam usando o ThinkPHP, o que sugere que os atacantes podem estar visando indiscriminadamente uma ampla gama de sistemas.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...