Pesquisadores de cibersegurança descobriram uma nova campanha de malware que tem como alvo endpoints Docket API expostos publicamente com o objetivo de entregar mineradores de criptomoedas e outros payloads.
Entre as ferramentas implantadas está uma remote access tool capaz de baixar e executar mais programas maliciosos, bem como uma utility para propagar o malware via SSH, conforme relatado pelo cloud analytics platform Datadog em um relatório publicado na semana passada.
A análise da campanha revelou sobreposições táticas com uma atividade anterior chamada Spinning YARN, que visava serviços mal configurados de Apache Hadoop YARN, Docker, Atlassian Confluence e Redis para fins de cryptojacking.
O ataque começa com os atores de ameaças mirando em servidores Docker com ports expostos (número da porta 2375) para iniciar uma série de etapas, começando com reconhecimento e escalonamento de privilégios antes de passar para a fase de exploração.
Os payloads são recuperados de infraestrutura controlada pelo adversário executando um shell script chamado "vurl".
Isso inclui outro shell script chamado "b.sh" que, por sua vez, empacota um binário codificado em Base64 chamado "vurl" e também é responsável por buscar e iniciar um terceiro shell script conhecido como "ar.sh" (ou "ai.sh").
"O script ['b.sh'] decodifica e extrai esse binário para /usr/bin/vurl, sobrescrevendo a versão existente do shell script", disse o pesquisador de segurança Matt Muir.
Este binário difere da versão do shell script pelo uso de domains de [command-and-control] codificados.
O shell script, "ar.sh", executa uma série de ações, incluindo a configuração de um diretório de trabalho, instalação de ferramentas para escanear a internet procurando por hosts vulneráveis, desativação do firewall e, finalmente, busca pelo próximo estágio do payload, referido como "chkstart."
Um binário Golang como vurl, seu principal objetivo é configurar o host para acesso remoto e buscar ferramentas adicionais, incluindo "m.tar" e "top", de um servidor remoto, sendo este último um minerador XMRig.
"Na campanha original do Spinning YARN, grande parte da funcionalidade do chkstart era gerenciada por shell scripts", explicou Muir.
Portar essa funcionalidade para código Go poderia indicar que o atacante está tentando complicar o processo de análise, já que a análise estática de código compilado é significativamente mais difícil do que de shell scripts.
Baixados juntamente com o "chkstart" estão outros dois payloads chamados exeremo, que é utilizado para mover lateralmente para mais hosts e espalhar a infecção, e fkoths, um binário ELF baseado em Go para apagar traços da atividade maliciosa e resistir aos esforços de análise.
"Exeremo" também é projetado para instalar um shell script ("s.sh") que cuida da instalação de diversas ferramentas de escaneamento como pnscan, masscan e um scanner customizado de Docker ("sd/httpd") para identificar sistemas suscetíveis.
"Esta atualização para a campanha Spinning YARN mostra uma disposição de continuar atacando hosts Docker mal configurados para acesso inicial", disse Muir.
O ator de ameaça por trás desta campanha continua a iterar nos payloads implantados portando funcionalidades para Go, o que pode indicar uma tentativa de dificultar o processo de análise, ou apontar para experimentação com builds multi-arquitetura.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...