Caçadores de ameaças divulgaram duas diferentes campanhas de malware que miraram vulnerabilidades e má configurações em ambientes na nuvem para entregar mineradores de criptomoedas.
Os agrupamentos de atividades de ameaças foram nomeados Soco404 e Koske, respectivamente, pelas empresas de segurança na nuvem Wiz e Aqua.
Soco404 "mira tanto sistemas Linux quanto Windows, implantando malware específico para cada plataforma", disseram os pesquisadores da Wiz, Maor Dokhanian, Shahar Dorfman e Avigayil Mechtinger.
Eles usam o mascaramento de processos para disfarçar atividades maliciosas como processos do sistema legítimos.
A atividade é uma referência ao fato de que payloads são embutidos em falsas páginas HTML 404 hospedadas em sites construídos usando o Google Sites.
Os sites falsos desde então foram retirados do ar pelo Google.
A Wiz postulou que a campanha, que anteriormente foi observada atacando serviços de Apache Tomcat com credenciais fracas, bem como servidores Apache Struts e Atlassian Confluence susceptíveis usando o botnet Sysrv, faz parte de uma infraestrutura de cripto-golpes mais ampla, incluindo plataformas fraudulentas de negociação de criptomoedas.
A última campanha também revelou ser alvo de instâncias acessíveis publicamente de PostgreSQL, com os atacantes também abusando de servidores Apache Tomcat comprometidos para hospedar payloads úteis sob medida para ambos ambientes Linux e Windows.
Também hackeado pelos atacantes é um website legítimo de transporte coreano para entrega de malware.
Uma vez que o acesso inicial é obtido, o comando SQL COPY ...
FROM PROGRAM do PostgreSQL é explorado para executar comandos Shell arbitrários no host e alcançar execução de código remoto.
"O atacante por trás do Soco404 parece estar conduzindo varreduras automatizadas por serviços expostos, visando explorar qualquer ponto de entrada acessível", disse a Wiz.
O uso de uma ampla gama de ferramentas de entrada, incluindo utilitários Linux como wget e curl, bem como ferramentas nativas do Windows como certutil e PowerShell, destaca uma estratégia oportunista.
Em sistemas Linux, um script shell dropper é executado diretamente na memória para baixar e lançar um payload de próxima etapa, enquanto simultaneamente toma medidas para terminar com mineradores concorrentes para maximizar ganho financeiro e limitar a visibilidade forense sobrescrevendo logs associados ao cron e wtmp.
O payload executado na próxima etapa é um binário que serve como um loader para o minerador, contatando um domínio externo ("www.fastsoco[.]top") que está baseado no Google Sites.
A cadeia de ataque para Windows aproveita o comando pós-exploração inicial para baixar e executar um binário do Windows, que, assim como seu correspondente Linux, funciona como um loader que embute tanto o minerador quanto o driver WinRing0.sys, este último sendo usado para obter privilégios NT\SYSTEM.
Além disso, o malware tenta parar o serviço de registro de eventos do Windows e executa um comando de autoexclusão para evitar detecção.
"Em vez de contar com um único método ou sistema operacional, o atacante lança uma rede ampla, implantando qualquer ferramenta ou técnica disponível no ambiente para entregar seu payload", disse a empresa.
"Esta abordagem flexível é característica de uma campanha automatizada de criptomineração ampla, focada em maximizar o alcance e persistência em alvos variados."
A descoberta do Soco404 acontece junto com o surgimento de uma nova ameaça para Linux chamada Koske, que se suspeita ser desenvolvida com a assistência de um modelo de linguagem grande (LLM) e usa imagens aparentemente inocentes de pandas para propagar o malware.
O ataque começa com a exploração de um servidor mal configurado, tal como JupyterLab, para instalar vários scripts de duas imagens JPEG, incluindo um rootkit baseado em C que é usado para esconder arquivos maliciosos relacionados ao malware usando LD_PRELOAD e um script shell que eventualmente baixa mineradores de criptomoedas no sistema infectado.
Ambos payloads são executados diretamente na memória para evitar deixar rastros no disco.
O objetivo final de Koske é implantar mineradores de criptomoedas otimizados para CPU e GPU que aproveitam os recursos computacionais do hospedeiro para minerar 18 moedas distintas, como Monero, Ravencoin, Zano, Nexa e Tari, entre outras.
"Essas imagens são arquivos políglotas, com payloads maliciosos anexadas no final.
Uma vez baixadas, o malware extrai e executa os segmentos maliciosos na memória, burlando ferramentas antivírus", disse o pesquisador da Aqua, Assaf Morag.
Esta técnica não é esteganografia, mas sim abuso de arquivo políglota ou embutimento de arquivo malicioso.
Essa técnica usa um arquivo JPG válido com shellcode malicioso escondido no fim.
Apenas os últimos bytes são baixados e executados, tornando-a uma forma sorrateira de abuso políglota.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...