Nieuwe malware richt zich op blootgestelde Docker-API's voor cryptocurrency-mining

Cybersecurity-onderzoekers hebben een nieuwe malwarecampagne ontdekt die zich richt op publiekelijk blootgestelde Docket API-eindpunten met als doel cryptocurrency-mijnwerkers en andere payloads te leveren.

Tot de inzetbare tools behoort een tool voor externe toegang die in staat is meer kwaadaardige programma's te downloaden en uit te voeren, evenals een hulpprogramma om de malware via SSH te verspreiden, aldus cloudanalyseplatform Datadog in een vorige week gepubliceerd rapport.

Analyse van de campagne heeft tactische overlappingen aan het licht gebracht met een eerdere activiteit genaamd Spinning YARN, waarbij werd waargenomen dat deze zich richtte op verkeerd geconfigureerde Apache Hadoop YARN-, Docker-, Atlassian Confluence- en Redis-services voor cryptojacking-doeleinden.

De aanval begint met de bedreigingsactoren die zich richten op Docker-servers met blootgestelde poorten (poortnummer 2375) om een ​​reeks stappen te initiëren, te beginnen met verkenning en escalatie van bevoegdheden voordat ze doorgaan naar de exploitatiefase.

Payloads worden opgehaald uit de door de tegenstander gecontroleerde infrastructuur door een shellscript uit te voeren met de naam 'vurl'. Dit omvat een ander shellscript genaamd “b.sh” dat op zijn beurt een Base64-gecodeerd binair bestand met de naam “vurl” inpakt en ook verantwoordelijk is voor het ophalen en starten van een derde shellscript dat bekend staat als “ar.sh” (of “ai. sch”).

“Het ('b.sh') script decodeert en extraheert dit binaire bestand naar /usr/bin/vurl, waardoor de bestaande shell-scriptversie wordt overschreven”, aldus beveiligingsonderzoeker Matt Muir. “Dit binaire bestand verschilt van de shellscriptversie door het gebruik van hardgecodeerde (command-and-control) domeinen.”

Het shellscript, “ar.sh”, voert een aantal acties uit, waaronder het opzetten van een werkmap, het installeren van tools om het internet te scannen op kwetsbare hosts, het uitschakelen van de firewall en uiteindelijk het ophalen van de volgende fase van de payload, ook wel “chkstart” genoemd. .”

Docker-API's voor cryptocurrency-mining

Een Golang-binair bestand zoals vurl, met als hoofddoel het configureren van de host voor externe toegang en het ophalen van extra tools, waaronder “m.tar” en “top”, van een externe server, waarvan de laatste een XMRig-mijnwerker is.

“In de originele Spinning YARN-campagne werd een groot deel van de functionaliteit van chkstart afgehandeld door shell-scripts”, legt Muir uit. “Het overzetten van deze functionaliteit naar Go-code zou erop kunnen wijzen dat de aanvaller het analyseproces probeert te compliceren, omdat statische analyse van gecompileerde code aanzienlijk moeilijker is dan shell-scripts.”

Naast “chkstart” worden twee andere payloads gedownload, exeremo genaamd, die wordt gebruikt om lateraal naar meer hosts te gaan en de infectie te verspreiden, en fkoths, een Go-gebaseerd ELF-binair bestand om sporen van kwaadaardige activiteit te wissen en analyse-inspanningen te weerstaan.

“Exeremo” is ook ontworpen om een ​​shellscript (“s.sh”) neer te zetten dat zorgt voor de installatie van verschillende scantools zoals pnscan, masscan en een aangepaste Docker-scanner (“sd/httpd”) om gevoelige systemen te markeren.

“Deze update van de Spinning YARN-campagne toont de bereidheid om door te gaan met het aanvallen van verkeerd geconfigureerde Docker-hosts voor initiële toegang”, aldus Muir. “De dreigingsactor achter deze campagne blijft de geïmplementeerde payloads herhalen door functionaliteit naar Go te porten, wat zou kunnen wijzen op een poging om het analyseproces te belemmeren, of te wijzen op experimenten met multi-architectuur builds.”

Thijs Van der Does