Pesquisadores de cibersegurança descobriram uma nova campanha de cryptojacking que está mirando servidores web DevOps acessíveis publicamente, tais como aqueles associados com Docker, Gitea e HashiCorp Consul e Nomad, para minerar criptomoedas de forma ilícita.
A empresa de segurança na nuvem Wiz, que está monitorando a atividade sob o nome JINX-0132, disse que os atacantes estão explorando uma grande variedade de má configurações e vulnerabilidades conhecidas para entregar o payload do minerador.
"Notavelmente, essa campanha marca o que acreditamos ser a primeira instância documentada publicamente de exploração de má configurações do Nomad como um vetor de ataque no mundo real," disseram os pesquisadores Gili Tikochinski, Danielle Aminov e Merav Bar em um relatório compartilhado com a imprensa.
O que ainda mais destaca esses ataques é que os malfeitores baixam as ferramentas necessárias diretamente de repositórios do GitHub, em vez de usarem sua própria infraestrutura para fins de preparação.
O uso de ferramentas prontas para uso é visto como uma tentativa deliberada de confundir esforços de atribuição.
Diz-se que o JINX-0132 comprometeu instâncias do Nomad que gerenciam centenas de clientes que, dada a combinação de recursos de CPU e RAM, custariam dezenas de milhares de dólares por mês.
Isso também serve para destacar o poder de computação que impulsiona a atividade de cryptojacking.
Vale mencionar que o abuso da API do Docker é um ponto de lançamento bem conhecido para tais ataques.
Apenas na semana passada, a Kaspersky revelou que atores de ameaças estão mirando instâncias de API do Docker mal configuradas para alistá-las em um botnet de mineração de criptomoedas.
Instâncias da API do Docker expostas abrem a porta para atores de ameaças executarem códigos maliciosos ao iniciar contêineres que montam o sistema de arquivos do anfitrião ou lançar uma imagem de criptomoeda invocando endpoints padrão do Docker como "/containers/create" e "/containers/{id}/start." A Wiz disse que os atores de ameaças também estão aproveitando uma vulnerabilidade (por exemplo,
CVE-2020-14144
) ou má configuração no Gitea, uma solução open-source leve para hospedar repositórios Git, para obter um ponto de apoio inicial no alvo.
Especificamente, descobriu-se que instâncias do Gitea expostas publicamente são vulneráveis à execução remota de código se o atacante tiver acesso a um usuário existente com permissão para criar ganchos git, eles estiverem executando a versão 1.4.0, ou a página de instalação foi deixada desbloqueada (ou seja, INSTALL_LOCK=false).
O HashiCorp Consul, igualmente, pode abrir caminho para a execução arbitrária de código se o sistema não for devidamente configurado e permitir que qualquer usuário com acesso remoto ao servidor registre serviços e defina verificações de saúde, que, por sua vez, podem incluir um comando bash que será executado pelo agente registrado.
"Na campanha orquestrada por JINX-0132, eles abusaram dessa capacidade para adicionar verificações maliciosas que, na prática, simplesmente executam o software de mineração," disse a Wiz.
JINX-0132 adiciona vários serviços com nomes aparentemente aleatórios cujo propósito real era baixar e executar o payload XMRig. O JINX-0132 também foi observado explorando má configurações em API de servidor Nomad exposta publicamente para criar vários novos trabalhos em hosts comprometidos responsáveis por baixar o payload do minerador XMRig do GitHub e executá-lo.
Os ataques dependem do fato de que o Nomad não é seguro por padrão para criar e executar esses trabalhos.
"Essa configuração padrão efetivamente significa que o acesso irrestrito à API do servidor pode ser equivalente a capacidades de execução remota de código (RCE) no próprio servidor e todos os nós conectados," disse a Wiz.
De acordo com dados da Shodan, existem mais de 5.300 servidores Consul expostos e mais de 400 servidores Nomad expostos em todo o mundo.
A maioria das exposições está concentrada na China, Estados Unidos, Alemanha, Singapura, Finlândia, Países Baixos e Reino Unido.
Atacante Explora Sistema Open WebUI Exposto à Internet para Executar Minerador A divulgação vem como a Sysdig revelou detalhes de uma campanha de malware mirando sistemas Linux e Windows explorando um sistema mal configurado hospedando Open WebUI para fazer o upload de um script Python gerado por inteligência artificial (AI) e, em última análise, entregar mineradores de criptomoedas.
"A exposição à internet permitiu a qualquer um executar comandos no sistema — um erro perigoso que os atacantes estão bem cientes e procurando ativamente," disseram os pesquisadores de segurança Miguel Hernandez e Alessandra Rizzo em um relatório compartilhado com a publicação.
Caminho do ataque no Windows: "Uma vez que os atacantes descobriram o sistema de treinamento exposto, eles começaram a usar Open WebUI Tools, um sistema de plugins usado para melhorar as capacidades de LLM.
O Open WebUI permite que scripts Python sejam carregados para que LLMs possam usá-los para estender sua funcionalidade."
Uma vez carregado como uma Open WebUI Tool, o código Python malicioso foi executado. O código Python, segundo a Sysdig, é projetado para baixar e executar mineradores de criptomoedas como T-Rex e XMRig, cria um serviço systemd para persistência e utiliza um webhook do Discord para comando e controle (C2).
O malware também incorpora bibliotecas como processhider e argvhider para esconder o processo de mineração em sistemas Linux e serve como uma tática de evasão de defesa.
Caminho do ataque no Linux Em sistemas Windows comprometidos, o ataque prossegue de forma semelhante, mas também envolve a implantação do Java Development Kit (JDK) para executar um arquivo JAR ("application-ref.jar") baixado de 185.208.159[.]155.
O arquivo JAR, por sua vez, serve como um carregador baseado em Java para executar um payload JAR secundário.
A cadeia de ataque culmina com a execução de dois arquivos "INT_D.DAT" e "INT_J.DAT", sendo este último equipado para roubar credenciais associadas ao Discord e extensões de carteira de criptomoedas instaladas no Google Chrome.
A Sysdig disse que existem mais de 17.000 instâncias de Open WebUI que são acessíveis pela internet.
No entanto, não está claro quantas estão realmente mal configuradas ou suscetíveis a outras fraquezas de segurança.
"Má configurações acidentais onde sistemas como Open WebUI são expostos à internet continuam sendo um problema sério," disseram os pesquisadores.
O atacante também visou sistemas Linux e Windows, com a versão Windows incluindo técnicas de infostealer e evasão sofisticadas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...