Kwetsbare Docker-services worden het doelwit van een nieuwe campagne waarin de bedreigingsactoren zowel de XMRig cryptocurrency miner als de 9Hits Viewer-software inzetten als onderdeel van een veelzijdige strategie voor het genereren van inkomsten.
“Dit is het eerste gedocumenteerde geval waarin malware de 9Hits-applicatie als payload inzet”, aldus cloudbeveiligingsbedrijf Cado. De ontwikkeling is een teken dat tegenstanders altijd op zoek zijn naar diversificatie van hun strategieën om geld te verdienen aan gecompromitteerde hosts.
9Hits adverteert zichzelf als een ‘unieke oplossing voor webverkeer’ en een ‘automatische verkeersuitwisseling’ waarmee leden van de dienst verkeer naar hun sites kunnen leiden in ruil voor het kopen van credits.
Dit wordt bereikt door middel van een software genaamd 9Hits Viewer, die een headless Chrome-browserinstantie uitvoert om websites te bezoeken die door andere leden zijn aangevraagd, waarvoor ze credits verdienen om te betalen voor het genereren van verkeer naar hun sites.
De exacte methode die wordt gebruikt om de malware naar kwetsbare Docker-hosts te verspreiden is momenteel onduidelijk, maar er wordt vermoed dat hierbij gebruik wordt gemaakt van zoekmachines zoals Shodan om te scannen op potentiële doelen.
Vervolgens worden de servers gehackt om twee kwaadaardige containers via de Docker API in te zetten en kant-en-klare afbeeldingen op te halen uit de Docker Hub-bibliotheek voor de 9Hits- en XMRig-software.
“Dit is een veel voorkomende aanvalsvector voor campagnes die zich op Docker richten, waarbij ze in plaats van een op maat gemaakte afbeelding voor hun doeleinden op te halen, een generieke afbeelding van Dockerhub halen (die bijna altijd toegankelijk zal zijn) en deze gebruiken voor hun behoeften”, aldus beveiligingsonderzoeker Nate Bill. .
De 9Hits-container wordt vervolgens gebruikt om code uit te voeren om credits voor de aanvaller te genereren door zich te authenticeren bij 9Hits met behulp van hun sessietoken en de lijst met te bezoeken sites te extraheren.
De bedreigingsactoren hebben het plan ook geconfigureerd om het bezoeken van sites voor volwassenen of sites die pop-ups tonen toe te staan, maar om te voorkomen dat sites die verband houden met cryptocurrency worden bezocht.
De andere container wordt gebruikt om een XMRig-mijnwerker te laten draaien die verbinding maakt met een privé-mijnpool, waardoor het onmogelijk wordt om de schaal en winstgevendheid van de campagne te bepalen.
“De belangrijkste impact van deze campagne op gecompromitteerde hosts is de uitputting van bronnen, omdat de XMRig-mijnwerker alle beschikbare CPU-bronnen zal gebruiken die hij kan, terwijl 9hits een grote hoeveelheid bandbreedte, geheugen en het weinige CPU dat nog over is, zullen gebruiken,” zei Bill.
“Het resultaat hiervan is dat legitieme werklasten op geïnfecteerde servers niet meer kunnen presteren zoals verwacht. Bovendien zou de campagne kunnen worden bijgewerkt om een externe shell op het systeem achter te laten, wat mogelijk een ernstiger lek kan veroorzaken.”
