Blootgestelde Docker API-eindpunten via internet worden aangevallen door een geavanceerde cryptojacking-campagne genaamd Commando Kat.
“De campagne maakt gebruik van een goedaardige container die is gegenereerd met behulp van het Commando-project”, aldus Cado-beveiligingsonderzoekers Nate Bill en Matt Muir in een nieuw rapport dat vandaag is gepubliceerd. “De aanvaller ontsnapt uit deze container en voert meerdere payloads uit op de Docker-host.”
Er wordt aangenomen dat de campagne actief is sinds begin 2024, waardoor het de tweede dergelijke campagne is die in evenveel maanden is ontdekt. Medio januari wierp het cloudbeveiligingsbedrijf ook licht op een ander activiteitencluster dat zich richt op kwetsbare Docker-hosts om de XMRig cryptocurrency-miner en de 9Hits Viewer-software in te zetten.
Commando Cat gebruikt Docker als een initiële toegangsvector om een verzameling onderling afhankelijke payloads te leveren vanaf een door een actor bestuurde server die verantwoordelijk is voor het registreren van persistentie, het achterdeurtje van de host, het exfiltreren van de inloggegevens van de cloudserviceprovider (CSP) en het starten van de mijnwerker.
De voet aan de grond die wordt verkregen door het doorbreken van gevoelige Docker-instances wordt vervolgens misbruikt om een onschadelijke container in te zetten met behulp van de open-sourcetool Commando en een kwaadaardig commando uit te voeren waarmee deze via het chroot-commando aan de grenzen van de container kan ontsnappen.
Het voert ook een reeks controles uit om te bepalen of services genaamd “sys-kernel-debugger”, “gsc”, “c3pool_miner” en “dockercache” actief zijn op het gecompromitteerde systeem, en gaat pas door naar de volgende fase als deze stap slaagt .
“Het doel van de controle op sys-kernel-debugger is onduidelijk: deze service wordt nergens in de malware gebruikt en maakt ook geen deel uit van Linux”, aldus de onderzoekers. “Het is mogelijk dat de dienst onderdeel is van een andere campagne waar de aanvaller niet mee wil concurreren.”
De daaropvolgende fase omvat het verwijderen van extra payloads van de command-and-control (C2)-server, inclusief een shell-script-backdoor (user.sh) die in staat is een SSH-sleutel toe te voegen aan het bestand ~/.ssh/authorized_keys en een frauduleuze gebruiker te creëren met de naam “games” met een aanvaller bekend wachtwoord en neem dit op in het bestand /etc/sudoers.
Ook op een vergelijkbare manier geleverd zijn nog drie shell-scripts – tshd.sh, gsc.sh, aws.sh – die zijn ontworpen om Tiny SHell en een geïmproviseerde versie van netcat genaamd gs-netcat te verwijderen en inloggegevens te exfiltreren
De bedreigingsactoren “voeren een commando uit op de cmd.cat/chattr-container die de payload uit hun eigen C2-infrastructuur haalt”, vertelde Muir aan The Hacker News, waarbij hij opmerkte dat dit wordt bereikt door curl of wget te gebruiken en de resulterende payload rechtstreeks naar de bash te leiden. commandoshell.
“In plaats van /tmp te gebruiken, [gsc.sh] gebruikt in plaats daarvan ook /dev/shm, dat fungeert als een tijdelijke bestandsopslag, maar in plaats daarvan met geheugenondersteuning”, aldus de onderzoekers. “Het is mogelijk dat dit een ontwijkingsmechanisme is, omdat het veel gebruikelijker is dat malware /tmp gebruikt.”
“Dit resulteert er ook in dat de artefacten de schijf niet raken, wat forensisch onderzoek wat moeilijker maakt. Deze techniek is eerder gebruikt in BPFdoor – een spraakmakende Linux-campagne.”
De aanval culmineert in de inzet van een andere payload die rechtstreeks wordt geleverd als een Base64-gecodeerd script, in plaats van te worden opgehaald van de C2-server, waardoor op zijn beurt de XMRig-cryptocurrency-miner wordt verwijderd, maar niet voordat concurrerende miner-processen van de geïnfecteerde machine worden geëlimineerd.
De exacte oorsprong van de bedreigingsacteur achter Commando Cat is momenteel onduidelijk, hoewel is waargenomen dat de shell-scripts en het C2 IP-adres overlappen met de scripts die in het verleden zijn gekoppeld aan cryptojacking-groepen zoals TeamTNT, waardoor de mogelijkheid ontstaat dat het een copycat-groep is. .
“De malware functioneert als een inloggegevensdief, een zeer sluipende achterdeur en een cryptocurrency-miner in één”, aldus de onderzoekers. “Dit maakt het veelzijdig en in staat om zoveel mogelijk waarde uit geïnfecteerde machines te halen.”
