Instâncias Docker mal configuradas são o alvo de uma campanha que emprega a rede de anonimato Tor para minerar criptomoedas de forma sigilosa em ambientes suscetíveis.
"Atacantes estão explorando APIs Docker mal configuradas para ganhar acesso a ambientes conteinerizados, então usam Tor para mascarar suas atividades enquanto implantam mineradores de criptomoedas," afirmaram os pesquisadores da Trend Micro, Sunil Bharti e Shubham Singh, em uma análise publicada na última semana.
Ao usar Tor, a ideia é anonimizar suas origens durante a instalação do minerador em sistemas comprometidos.
Os ataques, segundo a empresa de cibersegurança, começam com uma solicitação do endereço IP 198.199.72[.]27 para obter uma lista de todos os containers na máquina.
Se não houver containers presentes, o atacante prossegue para criar um novo, baseando-se na imagem Docker "alpine" e monta o diretório "/hostroot" – isto é, o diretório raiz ("/") da máquina hospedeira física ou virtual – como um volume dentro dele.
Esse comportamento apresenta riscos de segurança, pois permite que o container acesse e modifique arquivos e diretórios no sistema hospedeiro, resultando em uma fuga do container.
Os atores de ameaças então executam uma sequência cuidadosamente orquestrada de ações que envolve a execução de um script shell codificado em Base64 para configurar o Tor no container como parte da solicitação de criação e, finalmente, buscar e executar um script remoto de um domínio .onion ("wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion")
"Isso reflete uma tática comum usada por atacantes para esconder a infraestrutura de comando e controle (C&C), evitar detecção e entregar malware ou mineradores dentro de ambientes de nuvem ou containers comprometidos," disseram os pesquisadores.
Além disso, o atacante usa 'socks5h' para rotear todo o tráfego e resolução de DNS através do Tor para anonimato e evasão aprimorados.
Uma vez que o container é criado, o script shell "docker-init.sh" é implementado, o qual então verifica o diretório "/hostroot" montado anteriormente e modifica a configuração SSH do sistema para configurar acesso remoto habilitando o login root e adicionando uma chave SSH controlada pelo atacante ao arquivo ~/.ssh/authorized_keys.
O ator de ameaça também foi encontrado instalando várias ferramentas como masscan, libpcap, zstd e torsocks, enviando ao servidor C&C detalhes sobre o sistema infectado e, finalmente, entregando um binário que atua como um dropper para o minerador de criptomoedas XMRig, junto com a configuração de mineração necessária, os endereços das carteiras e as URLs das pools de mineração.
"Essa abordagem ajuda os atacantes a evitar detecção e simplifica a implantação em ambientes comprometidos," disse a Trend Micro, acrescentando que observou a atividade visando empresas de tecnologia, serviços financeiros e organizações de saúde.
As descobertas apontam para uma tendência contínua de ataques cibernéticos que alvejam ambientes em nuvem mal configurados ou mal protegidos para fins de cryptojacking.
Esta evolução acontece enquanto a Wiz revelou que uma varredura de repositórios públicos de código descobriu centenas de segredos validados em arquivos mcp.json, .env, e arquivos de configuração de agentes de IA e cadernos Python (.ipynb), transformando-os em um tesouro para atacantes.
A firma de segurança em nuvem disse que encontrou segredos válidos pertencentes a mais de 30 empresas e startups, incluindo aquelas pertencentes a empresas da Fortune 100.
"Além de apenas segredos, os resultados de execução de código em cadernos Python devem ser geralmente tratados como sensíveis," disseram os pesquisadores Shay Berkovich e Rami McCarthy.
Seu conteúdo, se correlacionado à organização de um desenvolvedor, pode fornecer detalhes de reconhecimento para atores maliciosos.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...