Pesquisadores em cibersegurança descobriram uma infraestrutura de ataque que está sendo usada como parte de uma "campanha potencialmente massiva" contra ambientes nativos de nuvem.
"Essa infraestrutura está em estágios iniciais de testes e implantação, e consiste principalmente de um worm agressivo de nuvem, projetado para implantar em APIs expostas do JupyterLab e Docker, a fim de implantar o malware Tsunami, sequestro de credenciais de nuvem, sequestro de recursos e infestação adicional do worm", disse a empresa de segurança em nuvem Aqua.
A atividade, chamada Silentbob em referência a um domínio AnonDNS configurado pelo atacante, é dito estar ligada ao infame grupo de cryptojacking rastreado como TeamTNT, citando sobreposições em táticas, técnicas e procedimentos (TTPs).
Alternativamente, pode ser o trabalho de um "imitador avançado".
A investigação da Aqua foi motivada após um ataque direcionado ao seu honeypot no início de junho de 2023, levando à descoberta de quatro imagens de contêiner maliciosas que são projetadas para detectar instâncias expostas do Docker e Jupyter Lab e implantar um minerador de criptomoedas, bem como o backdoor Tsunami.
Esse feito é alcançado por meio de um script shell programado para ser executado quando o contêiner é iniciado e é usado para implantar o scanner ZGrab baseado em Go para localizar servidores mal configurados.
O Docker já removeu as imagens do registro público.
A lista de imagens está abaixo:
shanidmk/jltest2 (44 pull)
shanidmk/jltest (8 pull)
shanidmk/sysapp (11 pull)
shanidmk/blob (29 pull)
shanidmk/sysapp, além de executar um minerador de criptomoedas no host infectado, está configurado para baixar e executar binários adicionais, que, segundo a Aqua, podem ser backup de mineradores de criptomoedas ou o malware Tsunami.
Também baixado pelo contêiner está um arquivo chamado "aws.sh.txt", um script que provavelmente é projetado para escanear sistematicamente o ambiente em busca de chaves da AWS para posterior exfiltração.
A Aqua afirmou ter encontrado 51 servidores com instâncias expostas do JupyterLab em uso, todos os quais foram explorados ativamente ou apresentaram sinais de exploração por atores de ameaças.
Isso inclui um "ataque manual ao vivo em um dos servidores que utilizou o masscan para escanear APIs do Docker expostas."
"Inicialmente, o atacante identifica um servidor mal configurado (seja a API do Docker ou o JupyterLab) e implanta um contêiner ou utiliza a Interface de Linha de Comando (CLI) para escanear e identificar vítimas adicionais", disseram os pesquisadores de segurança Ofek Itach e Assaf Morag.
"Esse processo é projetado para espalhar o malware para um número cada vez maior de servidores.
O payload secundário desse ataque inclui um minerador de criptomoedas e um backdoor, sendo que este último utiliza o malware Tsunami como sua arma de escolha."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...