El grupo de hackers WatchDog lanza una nueva campaña de cryptojacking de Docker

El grupo de piratería WatchDog está llevando a cabo una nueva campaña de cryptojacking con técnicas avanzadas para la intrusión, la propagación similar a un gusano y la evasión del software de seguridad.

El grupo de piratería se dirige a los puntos finales expuestos de la API del motor Docker y a los servidores Redis y puede pasar rápidamente de una máquina comprometida a toda la red.

El objetivo de los actores de amenazas es generar ganancias extrayendo criptomonedas utilizando los recursos computacionales disponibles de servidores con poca seguridad.

Los investigadores de Cado Labs descubrieron la nueva campaña de piratería, analizando las tácticas distintivas del actor de amenazas y confían en su atribución a WatchDog.

 

Un ataque en varias etapas

WatchDog lanza los ataques al comprometer los puntos finales de la API de Docker Engine mal configurados con un puerto abierto 2375, dándoles acceso al daemon en la configuración predeterminada.

A partir de ahí, WatchDog puede enumerar o modificar contenedores y ejecutar comandos de shell arbitrarios en ellos. El primer script de shell que ejecutan los piratas informáticos es "cronb.sh", que verifica el estado de infección del host, enumera los procesos y obtiene la carga útil de la segunda etapa, "ar.sh".

attack-diagram

Esta segunda secuencia de comandos utiliza el secuestro de comandos ps para ejecutar un proceso que oculta la secuencia de comandos de Shell. Además, realiza la manipulación de marcas de tiempo ("timestomping") en los registros de ejecución de shell para engañar a los expertos forenses.

Esa carga útil también contiene un eliminador de Alibaba Cloud Agent para deshabilitar el sistema de seguridad en el servicio en la nube en particular.

alibaba

Finalmente, se coloca una carga útil del minero XMRig en la máquina comprometida y se agrega una unidad de servicio systemd para la persistencia. Para que todo esto suceda, la cuenta de usuario aprovechada por los piratas informáticos debe tener privilegios de root.

La carga útil de la tercera etapa incorpora zgrab, masscan y pnscan para buscar puntos de pivote válidos en la red y descarga los dos scripts finales responsables de la propagación, "c.sh" y "d.sh".

Estos se almacenan en un directorio recién creado llamado "...", que es fácil pasar por alto debido a su apariencia similar al alias del directorio principal, lo que hace que sea más probable que se pase por alto durante una inspección.

directory-hiding

El primer script, "c.sh", deshabilita SELinux y configura "ulimit" e "iptables" para establecer comunicación con los servidores Redis en la red mientras corta todos los demás accesos desde el exterior.

scan-for-redis

El segundo script, "d.sh", es similar, pero en lugar de Redis, se dirige a otros puntos finales de la API de Docker Engine y los infecta con un contenedor Alpine Linux interconectado que ejecuta el script de acceso inicial, "cronb.sh".

Atribución

Muchos de los scripts utilizados por WatchDog contienen logotipos y referencias de un grupo de piratería rival conocido como TeamTNT, lo que indica que WatchDog probablemente robó las herramientas de su rival.

teamtnt(1)

Cado destaca varios puntos fuertes que indican una superposición con la campaña 2021 de WatchDog, como usar la misma dirección de billetera Monero para la minería, usar nombres de directorio b2f628 en las URL y usar el dominio oracle zzhreceive[.]top, y el uso de 1.0.4.tar. gz para la entrega de la carga útil.

 

Fuente: Bleepingcomputer.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies