Hackers estão mirando servidores mal configurados que executam Apache Hadoop YARN, Docker, Confluence ou Redis com um novo malware baseado em Golang que automatiza a descoberta e comprometimento dos hosts.
As ferramentas maliciosas usadas na campanha tiram proveito das fraquezas de configuração e exploram uma vulnerabilidade antiga no Atlassian Confluence para executar código na máquina.
Pesquisadores da empresa de forense e resposta a incidentes Cado Security descobriram a campanha e analisaram os payloads usados nos ataques, scripts bash e binários Golang ELF.
Os pesquisadores observam que o conjunto de intrusão é semelhante a ataques em nuvem relatados anteriormente, alguns deles atribuídos a atores de ameaças como TeamTNT, WatchDog e Kiss-a-Dog.
Eles começaram a investigar o ataque após receber um alerta de acesso inicial em um honeypot da Docker Engine API, com um novo contêiner baseado em Alpine Linux sendo gerado no servidor.
Para as próximas etapas, o ator da ameaça depende de vários scripts shell e técnicas comuns de ataque ao Linux para instalar um minerador de criptomoedas, estabelecer persistência e configurar um shell reverso.
Segundo os pesquisadores, os hackers implantam um conjunto de quatro novos payloads Golang responsáveis por identificar e explorar hosts que executam serviços para Hadoop YARN (h.sh), Docker (d.sh), Confluence (w.sh) e Redis (c.sh).
Os nomes dos payloads provavelmente são uma tentativa ruim de disfarçá-los como scripts bash.
No entanto, eles são binários Golang ELF de 64 bits.
Os hackers usam as ferramentas Golang para escanear um segmento de rede para portas abertas 2375, 8088, 8090 ou 6379, que são as padrão para os alvos desta campanha.
No caso de "w.sh", após descobrir um endereço IP para um servidor Confluence, ele obtém um exploit para
CVE-2022-26134
, uma vulnerabilidade crítica que permite que invasores remotos executem código sem a necessidade de autenticação.
Outro payload Golang encontrado é chamado "fkoths" e sua tarefa é remover vestígios do acesso inicial, excluindo imagens Docker dos repositórios Ubuntu ou Alpine.
A Cado Security descobriu que o invasor usou um script shell maior chamado "ar.sh" para aprofundar o comprometimento, prevenir atividades forenses no host e buscar cargas adicionais, incluindo a popular aplicação de mineração XMRig para a criptomoeda Monero.
O script também adiciona uma chave SSH que permite ao invasor manter acesso ao sistema infectado, recupera o shell reverso baseado em Golang Platypus e procura por chaves SSH e endereços IP relacionados.
Enquanto a maioria dos payloads da campanha são amplamente sinalizados como maliciosos por motores antivírus na plataforma de varredura Virus Total, os quatro binários Golang para descobrir serviços de destino são praticamente indetectados.
Dois dos payloads, w.sh e c.sh, são detectados por menos de 10 motores antivírus na plataforma e a data de envio mais antiga é 11 de dezembro de 2023, o que pode indicar o início da campanha.
Os outros dois são indetectados na plataforma.
A Cado Security compartilhou uma análise técnica para todos os payloads descobertos na campanha, bem como os indicadores de comprometimento associados.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...