Las instancias de API de Docker mal configuradas se han convertido en el objetivo de una nueva campaña de malware que los transforma en una botnet de minería de criptomonedas.
Los ataques, diseñados para extraer la división, son notables por sus capacidades similares al gusano para propagar el malware a otras instancias de Docker expuestos y colocarlos en una horda cada vez mayor de bots mineros.
Kaspersky dijo que observó a un actor de amenaza no identificado que obtuvo acceso inicial a una infraestructura contenedorada en ejecución explotando una API Docker publicada inseguamente y luego armando ese acceso para crear la red ilícita de criptojacking.
«Esto llevó a que los contenedores de ejecución se comprometieran y se crearon nuevos no solo para secuestrar los recursos de la víctima para la minería de criptomonedas, sino también para lanzar ataques externos para propagarse a otras redes», dijo el investigador de seguridad Amged Wageh.
La cadena de ataque se realiza a través de dos componentes: un malware de propagación «Nginx» que escanea Internet para las API de Docker expuestas y el minero de criptomonedas de Dero «Cloud». Ambas cargas útiles se desarrollan usando Golang. El uso de «NGINX» es un intento deliberado de disfrazarse de la legítima servidor web Nginx y volar bajo el radar.
El malware de propagación está diseñado para registrar las actividades en ejecución del malware, iniciar el minero y ingresar a un bucle infinito para generar subredes de red IPv4 aleatorias para marcar instancias de Docker más susceptibles que tienen el puerto API predeterminado 2375 abierto y comprometiéndolos.
Luego procede a verificar si el Dockerd Daemon remoto en el host con un IPv4 coincidente se está ejecutando y receptivo. Si no ejecuta el comando «Docker -h PS», «Nginx» simplemente se mueve a la siguiente dirección IP desde la lista.
«Después de confirmar que el Dockemd Daemon remoto se está ejecutando y receptivo, NGINX genera un nombre de contenedor con 12 caracteres aleatorios y lo usa para crear un contenedor malicioso en el objetivo remoto», explicó Wageh. «Luego, NGINX prepara el nuevo contenedor para instalar dependencias más adelante actualizando los paquetes a través de ‘Docker -h exec apt -get -yq actualización'».
La herramienta de propagación luego instala MassCan y Docker.io en el contenedor para permitir que el malware interactúe con el Docker Daemon y realice el escaneo externo para infectar otras redes, difundiendo efectivamente el malware. En la última etapa, las dos cargas útiles «Nginx» y «Cloud» se transfieren al contenedor utilizando el comando «Docker -h CP -L/usr/bin/:/usr/bin».
Como una forma de configurar la persistencia, el binario «NGINX» transferido se agrega al archivo «/Root/.Bash_aliases» para asegurarse de que se inicie automáticamente al inicio de sesión de shell. Otro aspecto significativo del malware es que también está diseñado para infectar contenedores basados en Ubuntu en hosts vulnerables remotos.
El objetivo final de la campaña es ejecutar el minero de criptomonedas de Dero, que se basa en el minero cli de código abierto disponible en GitHub.
Kaspersky ha evaluado que la actividad se superpone con una campaña minera de dedo que anteriormente fue documentada por CrowdStrike en marzo de 2023 dirigido a grupos de Kubernetes basados en la dirección de la billetera y las direcciones de nodo derrot utilizadas. Wiz marcó una iteración posterior de la misma campaña en junio de 2024.
«Los entornos contenedores se vieron comprometidos a través de una combinación de un minero previamente conocido y una nueva muestra que creó contenedores maliciosos y los existentes infectados», dijo Wageh. «Los dos implantes maliciosos se propagan sin un servidor C2, lo que hace que cualquier red que tenga una infraestructura contenedora y la API de Docker publicada inseguamente a Internet sea un objetivo potencial».
El desarrollo se produce cuando el Centro de Inteligencia de Seguridad de AhnLab (ASEC) detalló una campaña que implica el despliegue del Monero Coin Miner junto con un protocolo de comunicación nunca antes visto que utiliza el protocolo de comunicación PybitMessage Peer-to-Peer (P2P) para procesar las instrucciones entrantes y ejecutarlas como PowerShell Scripts.
Actualmente no se conoce el método de distribución exacto utilizado en la campaña, pero se sospecha que está disfrazado de versiones descifradas de software popular, lo que hace que los usuarios eviten descargar archivos de fuentes desconocidas o no confiables y se mantengan a canales de distribución legítimos.
«El Protocolo de BitMessage es un sistema de mensajería diseñado con anonimato y descentralización en mente, y presenta la prevención de la intercepción por parte de los intermediarios y el anonimato de los remitentes y receptores de mensajes», dijo ASEC.
«Los actores de amenazas explotaron el módulo PyBitMessage, que implementa este protocolo en el entorno de Python, para intercambiar paquetes cifrados en un formato similar al tráfico web regular. En particular, los comandos C2 y los mensajes de control están ocultos dentro de los mensajes de usuarios reales en la red de bitmessage».