Instâncias de API do Docker configuradas incorretamente tornaram-se alvo de uma nova campanha de malware que as transforma em uma botnet de mineração de criptomoedas.
Os ataques, projetados para minerar a moeda Dero, são notáveis por suas capacidades semelhantes a um worm de propagar o malware para outras instâncias do Docker expostas e recrutá-las para uma horda cada vez maior de bots de mineração.
A Kaspersky disse que observou um ator de ameaça não identificado ganhando acesso inicial a uma infraestrutura containerizada em execução explorando uma API do Docker publicada de forma insegura e, então, armando esse acesso para criar a rede ilícita de cryptojacking.
"Isso levou à comprometimento dos containers em execução e à criação de novos não apenas para sequestrar os recursos da vítima para mineração de criptomoedas, mas também para lançar ataques externos e propagar para outras redes", disse o pesquisador de segurança Amged Wageh.
A cadeia de ataque é realizada por meio de dois componentes: Um malware de propagação "nginx" que varre a internet por APIs do Docker expostas e o minerador de criptomoedas "cloud" Dero.
Ambos os payloads são desenvolvidos usando Golang.
O uso de "nginx" é uma tentativa deliberada de se passar pelo legítimo servidor web nginx e passar despercebido.
O malware de propagação é projetado para registrar as atividades em execução do malware, iniciar o minerador e entrar em um loop infinito para gerar sub-redes IPv4 aleatórias para sinalizar mais instâncias suscetíveis do Docker que tenham a porta padrão da API 2375 aberta e comprometê-las.
Em seguida, procede para verificar se o daemon dockerd remoto no host com um IPv4 correspondente está em execução e responsivo.
Se falhar na execução do comando "docker -H PS", o "nginx" simplesmente passa para o próximo endereço IP da lista.
"Depois de confirmar que o daemon dockerd remoto está em execução e responsivo, o nginx gera um nome de container com 12 caracteres aleatórios e o usa para criar um container malicioso no alvo remoto", explicou Wageh.
Então, o nginx prepara o novo container para instalar dependências posteriormente, atualizando os pacotes via 'docker -H exec apt-get -yq update'. A ferramenta de propagação então instala masscan e docker.io no container de forma a permitir que o malware interaja com o daemon do Docker e realize a varredura externa para infectar outras redes, espalhando efetivamente o malware ainda mais.
No último estágio, os dois payloads "nginx" e "cloud" são transferidos para o container usando o comando "docker -H cp -L /usr/bin/ :/usr/bin/." Como forma de configurar a persistência, o binário "nginx" transferido é adicionado ao arquivo "/root/.bash_aliases" para garantir que seja lançado automaticamente ao fazer login no shell.
Outro aspecto significativo do malware é que ele também é projetado para infectar containers baseados em Ubuntu em execução em hosts remotos vulneráveis.
O objetivo final da campanha é executar o minerador de criptomoedas Dero, que é baseado no minerador de linha de comando DeroHE de código aberto disponível no GitHub.
A Kaspersky avaliou que a atividade se sobrepõe a uma campanha de mineração de Dero anteriormente documentada pela CrowdStrike em março de 2023, visando clusters Kubernetes baseada no endereço da carteira e nos endereços dos nós derod usados.
Uma iteração subsequente da mesma campanha foi sinalizada pela Wiz em junho de 2024.
"Ambientes containerizados foram comprometidos por meio de uma combinação de um minerador previamente conhecido e uma nova amostra que criava containers maliciosos e infectava os existentes", disse Wageh.
Os dois implantes maliciosos se espalharam sem um servidor C2, tornando qualquer rede que tenha uma infraestrutura containerizada e uma API do Docker publicada de forma insegura na internet um alvo potencial.
O desenvolvimento vem à medida que o AhnLab Security Intelligence Center (ASEC) detalhou uma campanha que envolve a implantação do minerador de moedas Monero juntamente com uma backdoor nunca antes vista que usa o protocolo de comunicação peer-to-peer (P2P) PyBitmessage para processar instruções recebidas e executá-las como scripts do PowerShell.
O método de distribuição exato usado na campanha atualmente não é conhecido, mas suspeita-se que esteja disfarçado como versões crackeadas de softwares populares, tornando essencial que os usuários evitem baixar arquivos de fontes desconhecidas ou não confiáveis e se atenham a canais de distribuição legítimos.
"O protocolo Bitmessage é um sistema de mensagens projetado com anonimato e descentralização em mente, e apresenta a prevenção de interceptação por intermediários e a anonimização dos remetentes e receptores das mensagens", disse o ASEC.
Atores de ameaças exploraram o módulo PyBitmessage, que implementa esse protocolo no ambiente Python, para trocar pacotes criptografados em um formato semelhante ao tráfego web regular.
Em particular, comandos C2 e mensagens de controle são escondidos dentro de mensagens de usuários reais na rede Bitmessage.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...