Los investigadores de ciberseguridad han descubierto una nueva campaña de criptojacking que se dirige a los servidores web de DevOps accesibles públicamente, como los asociados con Docker, Gitea y Hashicorp Cónsul y Nomad a minar ilícitamente las criptomonedas.
La firma de seguridad en la nube Wiz, que está rastreando la actividad bajo el nombre Jinx-0132dijo que los atacantes están explotando una amplia gama de configuraciones erróneas y vulnerabilidades conocidas para entregar la carga útil del minero.
«En particular, esta campaña marca lo que creemos que es la primera instancia documentada públicamente de las configuraciones erróneas de Nomad que se explotan como un vector de ataque en la naturaleza», dijeron los investigadores Gili Tikochinski, Danielle Aminov y Merav Bar en un informe compartido con las noticias del hacker.
Lo que establece que estos ataques se destacan aún es que los malos actores descargan las herramientas necesarias directamente de los repositorios de GitHub en lugar de usar su propia infraestructura para fines de puesta en escena. El uso de herramientas estándar se ve como un intento deliberado de nublar los esfuerzos de atribución.
Se dice que Jinx-0132 ha comprometido instancias nómadas que administran cientos de clientes que, dados la CPU combinada y los recursos de RAM, costarían decenas de miles de dólares por mes. Esto también sirve para resaltar la potencia de cómputo que impulsa la actividad criptojacking.
Vale la pena mencionar que el abuso de la API de Docker es un lanzador conocido para tales ataques. La semana pasada, Kaspersky reveló que los actores de amenaza están apuntando a instancias de API de Docker mal configurados para alistarlos en una botnet de minería de criptomonedas.
Las instancias de API de Docker expuestas abren la puerta para que los actores de amenaza ejecute el código malicioso al girar contenedores que montan el sistema de archivos host o inician una imagen de criptomonedas invocando puntos finales estándar de Docker como «/Containers/Create» y «/Containers/{ID}/Start».
Wiz dijo que los actores de amenaza también están aprovechando una vulnerabilidad (por ejemplo, CVE-2020-14144) o una configuración errónea en Gitea, una solución ligera de código abierto para alojar repositorios de GIT, para obtener una posición inicial en el objetivo.
Específicamente, se ha encontrado que las instancias expuestas públicamente de Gitea son vulnerables a la ejecución de código remoto Si el atacante tiene acceso a un usuario existente con permiso para crear gancho Git, está ejecutando la versión 1.4.0 o la página de instalación se dejó desbloqueado (es decir, install_lock = falso).
Hashicorp Cónsul, del mismo modo, podría allanar el camino para la ejecución del código arbitrario si el sistema no está configurado correctamente y permite a cualquier usuario acceso remoto al servidor para registrar servicios y definir las verificaciones de salud, lo que, a su vez, puede incluir un comando bash que el agente registrado ejecutará.
«En la campaña orquestada por Jinx-0132, abusaron de esta capacidad para agregar controles maliciosos que, en la práctica, simplemente ejecutan el software de minería», dijo Wiz. «Jinx-0132 agrega múltiples servicios con nombres aparentemente aleatorios cuyo propósito real era descargar y ejecutar la carga útil XMRIG».
Jinx-0132 también se ha observado explotando las configuraciones erróneas en la API del servidor Nomad expuesto público para crear múltiples empleos nuevos en hosts comprometidos que son responsables de descargar la carga útil XMRIG Miner de Github y ejecutarla. Los ataques dependen del hecho de que Nomad no es seguro por defecto para crear y ejecutar estos trabajos.
«Esta configuración predeterminada significa efectivamente que el acceso sin restricciones a la API del servidor puede equivalir a las capacidades de ejecución de código remoto (RCE) en el servidor en sí y en todos los nodos conectados», dijo Wiz.
Según los datos de Shodan, hay más de 5.300 servidores cónsul expuestos y más de 400 servidores nómadas expuestos en todo el mundo. La mayoría de las exposiciones se concentran en China, Estados Unidos, Alemania, Singapur, Finlandia, los Países Bajos y el Reino Unido.
El atacante explota el sistema webui abierto expuesto a Internet para ejecutar minero
La divulgación se produce cuando Sysdig reveló detalles de una campaña de malware dirigida a Linux y Windows explotando un sistema mal configurado que aloja WebUI abierto para cargar un script de Python de inteligencia artificial (IA) y finalmente entregar mineros de criptomonedas.
«La exposición a Internet permitió a cualquiera ejecutar comandos en el sistema: un error peligroso, los atacantes son muy conscientes y escaneando activamente», dijeron los investigadores de seguridad Miguel Hernández y Alessandra Rizzo en un informe compartido con la publicación.
«Una vez que los atacantes descubrieron el sistema de capacitación expuesto, comenzaron a usar herramientas WebUI Open, un sistema de complementos utilizado para mejorar las capacidades de LLM. Open WebUI permite que se carguen los scripts de Python para que los LLM puedan usarlos para extender su funcionalidad. Una vez cargado como una herramienta de webui abierta, se ejecutaron el código malicioso de Python».
El código de Python, dijo Sysdig, está diseñado para descargar y ejecutar mineros de criptomonedas como T-Rex y XMRIG, crea un servicio Systemd para persistencia y utiliza un webhook de discordia para comando y control (C2). El malware también incorpora bibliotecas como ProcessHider y Argvhider para ocultar el proceso de minería en los sistemas Linux y sirve como una táctica de evasión de defensa.
En los sistemas de Windows comprometidos, el ataque continúa en líneas similares, pero también implica la implementación del Kit de Desarrollo Java (JDK) para ejecutar un archivo JAR («Application-Ref.jar») descargado de 185.208.159 (.) 155. El archivo JAR, por su parte, sirve como un cargador basado en Java para ejecutar una carga útil de JAR secundaria.
La cadena de ataque culmina con la ejecución de dos archivos «int_d.dat» e «int_j.dat», este último está equipado para robar credenciales asociadas con extensiones de billetera de discordia y criptomonedas instaladas en Google Chrome.
Sysdig dijo que hay más de 17,000 instancias de WebUI abiertas a las que se puede acceder a través de Internet. Sin embargo, no está claro cuántos están realmente mal configurados o susceptibles a otras debilidades de seguridad.
«Las configuraciones erróneas accidentales donde los sistemas como WebUI Open están expuestos a Internet siguen siendo un problema grave», dijeron los investigadores. «El atacante también se dirigió a los sistemas Linux y Windows, con la versión de Windows que incluye sofisticadas técnicas de infoptealista y evasión».