Bedreigingsactoren richten zich op verkeerd geconfigureerde en kwetsbare servers waarop Apache Hadoop YARN, Docker, Atlassian Confluence en Redis-services draaien als onderdeel van een opkomende malwarecampagne die is ontworpen om een cryptocurrency-mijnwerker te leveren en een omgekeerde shell te creëren voor permanente toegang op afstand.
“De aanvallers maken gebruik van deze tools om exploitcode uit te geven, gebruik te maken van veelvoorkomende misconfiguraties en misbruik te maken van een N-day-kwetsbaarheid, om Remote Code Execution (RCE)-aanvallen uit te voeren en nieuwe hosts te infecteren”, zegt Cado-beveiligingsonderzoeker Matt Muir in een rapport gedeeld met Het hackernieuws.
De activiteit heeft de codenaam gekregen Spinnend GAREN door het cloudbeveiligingsbedrijf, met overlappingen met cloudaanvallen toegeschreven aan TeamTNT, WatchDog en een cluster genaamd Kiss-a-dog.
Het begint allemaal met het inzetten van vier nieuwe Golang-payloads die de identificatie en exploitatie van gevoelige Confluence-, Docker-, Hadoop YARN- en Redis-hosts kunnen automatiseren. De spreader-hulpprogramma’s maken gebruik van masscan of pnscan om op deze diensten te jagen.
“Bij het Docker-compromis spawnen de aanvallers een container en ontsnappen daaruit naar de onderliggende host”, legt Muir uit.
De initiële toegang maakt vervolgens de weg vrij voor de inzet van aanvullende tools om rootkits zoals libprocesshider en diamorphine te installeren om kwaadaardige processen te verbergen, het open-source reverse shell-hulpprogramma Platypus te laten vallen en uiteindelijk de XMRig miner te lanceren.
“Het is duidelijk dat aanvallers veel tijd investeren in het begrijpen van de soorten webgerichte services die in cloudomgevingen worden ingezet, op de hoogte blijven van gerapporteerde kwetsbaarheden in die services en deze kennis gebruiken om voet aan de grond te krijgen in doelomgevingen”, aldus het bedrijf.
De ontwikkeling komt op het moment dat Uptycs de exploitatie door 8220 Gang van bekende beveiligingsfouten in Apache Log4j (CVE-2021-44228) en Atlassian Confluence Server and Data Center (CVE-2022-26134) onthulde als onderdeel van een golf van aanvallen op de cloudinfrastructuur vanaf mei 2023. tot en met februari 2024.
“Door gebruik te maken van internetscans voor kwetsbare applicaties identificeert de groep potentiële toegangspunten tot cloudsystemen, waarbij ongepatchte kwetsbaarheden worden misbruikt om ongeautoriseerde toegang te verkrijgen”, aldus beveiligingsonderzoekers Tejaswini Sandapolla en Shilpesh Trivedi.
“Eenmaal binnen zetten ze een reeks geavanceerde ontwijkingstechnieken in, waarmee ze een diepgaand begrip demonstreren van hoe ze in hun voordeel door cloudomgevingen kunnen navigeren en deze kunnen manipuleren. Dit omvat het uitschakelen van de beveiligingshandhaving, het aanpassen van firewallregels en het verwijderen van cloudbeveiligingsdiensten, waardoor hun kwaadwillige activiteiten veilig worden gesteld. onopgemerkt blijven.”
De aanvallen, die zowel Windows- als Linux-hosts aanvallen, zijn bedoeld om een cryptocurrency-miner in te zetten, maar niet voordat een reeks stappen is ondernomen die prioriteit geven aan stealth en ontduiking.
Het volgt ook op het misbruik van clouddiensten die voornamelijk bedoeld zijn voor kunstmatige intelligentie (AI)-oplossingen om cryptocurrency-mijnwerkers te laten vallen en om malware te hosten.
“Omdat zowel mining als AI toegang vereisen tot grote hoeveelheden GPU-verwerkingskracht, is er een zekere mate van overdraagbaarheid naar hun basishardwareomgevingen”, merkte HiddenLayer vorig jaar op.
Cado merkte in zijn H2 2023 Cloud Threat Findings Report op dat bedreigingsactoren zich steeds meer richten op clouddiensten waarvoor specialistische technische kennis nodig is om te kunnen exploiteren, en dat cryptojacking niet langer het enige motief is.
“Met de ontdekking van nieuwe Linux-varianten van ransomware-families, zoals Abyss Locker, is er een zorgwekkende trend van ransomware op Linux- en ESXi-systemen”, aldus het rapport. “Cloud- en Linux-infrastructuur is nu onderhevig aan een breder scala aan aanvallen.”
