Las instancias de API de Docker mal configuradas se han convertido en el objetivo de una nueva campaña de malware que los transforma en una botnet de minería de criptomonedas.
Los ataques, diseñados para extraer la división, son notables por sus capacidades similares al oruga para propagar el malware a otras instancias de Docker expuestos y colocarlos en una horda cada vez veterano de bots mineros.
Kaspersky dijo que observó a un actor de amenaza no identificado que obtuvo acercamiento auténtico a una infraestructura contenedorada en ejecución explotando una API Docker publicada inseguamente y luego armando ese acercamiento para crear la red ilícita de criptojacking.
«Esto llevó a que los contenedores de ejecución se comprometieran y se crearon nuevos no solo para secuestrar los posibles de la víctima para la minería de criptomonedas, sino todavía para editar ataques externos para propagarse a otras redes», dijo el investigador de seguridad Amged Wageh.
La prisión de ataque se realiza a través de dos componentes: un malware de propagación «Nginx» que escanea Internet para las API de Docker expuestas y el minero de criptomonedas de Dero «Cloud». Ambas cargas enseres se desarrollan usando Golang. El uso de «NGINX» es un intento deliberado de disfrazarse de la legítima servidor web Nginx y evaporarse bajo el radar.
El malware de propagación está diseñado para registrar las actividades en ejecución del malware, iniciar el minero y ingresar a un tirabuzón infinito para originar subredes de red IPv4 aleatorias para marcar instancias de Docker más susceptibles que tienen el puerto API predeterminado 2375 hendido y comprometiéndolos.
Luego procede a compulsar si el Dockerd Daemon remoto en el host con un IPv4 coincidente se está ejecutando y receptivo. Si no ejecuta el comando «Docker -h PS», «Nginx» simplemente se mueve a la subsiguiente dirección IP desde la repertorio.
«Luego de confirmar que el Dockemd Daemon remoto se está ejecutando y receptivo, NGINX genera un nombre de contenedor con 12 caracteres aleatorios y lo usa para crear un contenedor astuto en el objetivo remoto», explicó Wageh. «Luego, NGINX prepara el nuevo contenedor para instalar dependencias más delante actualizando los paquetes a través de ‘Docker -h exec apt -get -yq modernización'».
La útil de propagación luego instala MassCan y Docker.io en el contenedor para permitir que el malware interactúe con el Docker Daemon y realice el escaneo forastero para infectar otras redes, difundiendo efectivamente el malware. En la última etapa, las dos cargas enseres «Nginx» y «Cloud» se transfieren al contenedor utilizando el comando «Docker -h CP -L/usr/bin/:/usr/bin».
Como una forma de configurar la persistencia, el binario «NGINX» transferido se agrega al archivo «/Root/.Bash_aliases» para cerciorarse de que se inicie automáticamente al inicio de sesión de shell. Otro aspecto significativo del malware es que todavía está diseñado para infectar contenedores basados en Ubuntu en hosts vulnerables remotos.
El objetivo final de la campaña es ejecutar el minero de criptomonedas de Dero, que se basamento en el minero cli de código hendido adecuado en GitHub.
Kaspersky ha evaluado que la actividad se superpone con una campaña minera de dedo que anteriormente fue documentada por CrowdStrike en marzo de 2023 dirigido a grupos de Kubernetes basados en la dirección de la billetera y las direcciones de nodo derrot utilizadas. Wiz marcó una iteración posterior de la misma campaña en junio de 2024.
«Los entornos contenedores se vieron comprometidos a través de una combinación de un minero previamente conocido y una nueva muestra que creó contenedores maliciosos y los existentes infectados», dijo Wageh. «Los dos implantes maliciosos se propagan sin un servidor C2, lo que hace que cualquier red que tenga una infraestructura contenedora y la API de Docker publicada inseguamente a Internet sea un objetivo potencial».
El crecimiento se produce cuando el Centro de Inteligencia de Seguridad de AhnLab (ASEC) detalló una campaña que implica el despliegue del Monero Coin Miner pegado con un protocolo de comunicación nunca ayer trillado que utiliza el protocolo de comunicación PybitMessage Peer-to-Peer (P2P) para procesar las instrucciones entrantes y ejecutarlas como PowerShell Scripts.
Actualmente no se conoce el método de distribución exacto utilizado en la campaña, pero se sospecha que está disfrazado de versiones descifradas de software popular, lo que hace que los usuarios eviten descargar archivos de fuentes desconocidas o no confiables y se mantengan a canales de distribución legítimos.
«El Protocolo de BitMessage es un sistema de transporte diseñado con anonimato y descentralización en mente, y presenta la prevención de la intercepción por parte de los intermediarios y el anonimato de los remitentes y receptores de mensajes», dijo ASEC.
«Los actores de amenazas explotaron el módulo PyBitMessage, que implementa este protocolo en el entorno de Python, para cambiar paquetes cifrados en un formato similar al tráfico web regular. En particular, los comandos C2 y los mensajes de control están ocultos internamente de los mensajes de usuarios reales en la red de bitmessage».
