Novo malware ataca APIs Docker expostas para mineração de criptomoedas

Pesquisadores de segurança cibernética identificaram uma nova campanha de malware direcionada a endpoints Docket API expostos publicamente, com o objetivo de distribuir mineradores de criptomoedas e outras cargas maliciosas.

Malware

Entre as ferramentas utilizadas está uma ferramenta de acesso remoto, capaz de baixar e executar mais programas maliciosos, além de um utilitário para espalhar o malware via SSH, conforme relatado pela plataforma de análise em nuvem Datadog na semana passada.

A análise dessa campanha mostrou semelhanças táticas com uma atividade anterior chamada Spinning YARN, que visava serviços mal configurados como Apache Hadoop YARN, Docker, Atlassian Confluence e Redis, para fins de cryptojacking.

O ataque começa com os agentes de ameaça focando em servidores Docker com portas expostas (porta número 2375), iniciando uma série de etapas que incluem reconhecimento e escalonamento de privilégios antes de avançar para a exploração.

As cargas úteis são obtidas a partir da infraestrutura controlada pelos adversários, executando um script de shell chamado “vurl”. Este processo inclui outro script de shell denominado “b.sh”, que contém um binário codificado em Base64 também chamado “vurl” e é responsável por buscar e iniciar um terceiro script de shell conhecido como “ar.sh” (ou “ai.sh”).

“O script [‘b.sh’] decodifica e extrai esse binário para /usr/bin/vurl, substituindo a versão existente do script shell”, explicou o pesquisador de segurança Matt Muir. “Este binário difere da versão do script shell no uso de domínios codificados [comando e controle].”

O script shell “ar.sh” executa diversas ações, incluindo a configuração de um diretório de trabalho, a instalação de ferramentas para escanear a Internet em busca de hosts vulneráveis, a desativação do firewall e, finalmente, a obtenção da carga útil do próximo estágio, conhecida como “chkstart”.

Um binário Golang como o “vurl” tem como principal objetivo configurar o host para acesso remoto e buscar ferramentas adicionais, incluindo “m.tar” e “top”, de um servidor remoto. Este último é um minerador XMRig.

“Na campanha original Spinning YARN, grande parte da funcionalidade do chkstart era controlada por scripts de shell”, explicou Muir. “Transferir essa funcionalidade para o código Go pode sugerir que o invasor está tentando complicar o processo de análise, já que a análise estática do código compilado é significativamente mais difícil do que a dos scripts de shell.”

Junto com “chkstart”, são baixadas duas outras cargas chamadas “exeremo” e “fkoths”. “Exeremo” é usado para mover lateralmente para mais hosts e espalhar a infecção, enquanto “fkoths” é um binário ELF baseado em Go destinado a apagar vestígios de atividade maliciosa e resistir aos esforços de análise.

“Exeremo” também foi projetado para descartar um script de shell (“s.sh”), que cuida da instalação de várias ferramentas de verificação, como pnscan, masscan e um scanner Docker personalizado (“sd/httpd”), para identificar sistemas suscetíveis.

Esta atualização da campanha Spinning YARN evidencia a determinação em continuar atacando hosts Docker mal configurados para obter acesso inicial. O ator de ameaça por trás desta campanha segue iterando as cargas implantadas, agora portando funcionalidades para Go, o que pode indicar uma tentativa de dificultar a análise ou experimentar compilações para múltiplas arquiteturas. A campanha oferece diversas oportunidades de detecção, e os IoCs extraídos desta análise devem ajudar a identificar atividades associadas a ela em seu ambiente.

Listas de domínios não utilizados extraídas das cargas mostram que a campanha está muito ativa e provavelmente continuará no futuro próximo. Os invasores implantaram infraestrutura resiliente, incluindo vários servidores C2, pools de mineração e cargas adicionais.

Embora o objetivo principal desta campanha seja implantar um minerador XMRig em hosts comprometidos, os invasores também garantiram manter acesso às máquinas das vítimas via SSH. Manter a execução remota de código em hosts comprometidos pode permitir que os invasores explorem seu acesso para outros objetivos adicionais.