Las instancias de Docker mal configuradas son el objetivo de una campaña que emplea a la red de anonimato de Tor para extraer sigilosamente la criptomoneda en entornos susceptibles.
«Los atacantes están explotando las API de Docker mal configuradas para obtener acceso a entornos contenedores, luego usando Tor para enmascarar sus actividades mientras despliegan mineros criptográficos», dijeron los investigadores de Trend Micro Sunil Bharti y Shubham Singh en un análisis publicado la semana pasada.
Al usar Tor, la idea es anonimizar sus oronimizaciones durante la instalación del minero en sistemas comprometidos. Los ataques, según la compañía de seguridad cibernética, comienzan con una solicitud de la dirección IP 198.199.72 (.) 27 para obtener una lista de todos los contenedores en la máquina.
Si no hay contenedores presentes, el atacante procede a crear uno nuevo basado en la imagen de Docker «Alpine» y monta el directorio «/Hostroot», es decir, el directorio raíz («https://thehackernews.com/») de la máquina huésped física o virtual, como un volumen dentro de él. Este comportamiento plantea riesgos de seguridad, ya que permite que el contenedor acceda y modifique archivos y directorios en el sistema de host, lo que resulta en un escape de contenedores.
Los actores de amenaza luego ejecutan una secuencia de acciones cuidadosamente orquestada que implica ejecutar un script de shell codificado Base64 para configurar el tor en el contenedor como parte de la solicitud de creación y finalmente buscar y ejecutar un script remoto de un dominio .donión. («WTXQF54DJHP5PSKV2LFYDUUB5IEVXBYVLZJGJOPK6HXGE5UMombR63ad (.) Cebolla»)
«Refleja una táctica común utilizada por los atacantes para ocultar la infraestructura de comando y control (C&C), evitar la detección y entregar malware o mineros en entornos de nubes o contenedores comprometidos», dijeron los investigadores. «Además, el atacante usa ‘Socks5H’ para enrutar todo el tráfico y la resolución de DNS a través de TOR para mejorar el anonimato y la evasión».
Una vez que se crea el contenedor, se implementa el script de shell «Docker-init.sh», que luego verifica el directorio «/Hostroot» montado anteriormente y modifica la configuración de SSH del sistema para configurar el acceso remoto al habilitar el inicio de sesión raíz y agregar una tecla SSH controlada por el atacante en el archivo ~/.ssh/autorizado_keys.
También se ha encontrado que el actor de amenaza instala varias herramientas como MassCan, LibpCap, ZSTD y torsocks, Beacon a los detalles del servidor de C&C sobre el sistema infectado y, en última instancia, entrega un binario que actúa como un gotero para los mineros de criptomonedas XMRIG, junto con la configuración de minería necesaria, las direcciones de la billetera y las URL de la piscina.
«Este enfoque ayuda a los atacantes a evitar la detección y simplifica el despliegue en entornos comprometidos», dijo Trend Micro, y agregó que observó la actividad dirigida a las compañías de tecnología, los servicios financieros y las organizaciones de atención médica.
Los hallazgos apuntan a una tendencia continua de ataques cibernéticos que se dirigen a entornos de nubes mal configurados o mal asegurados para fines de criptojacking.
El desarrollo se produce cuando Wiz reveló que una exploración de repositorios de código público ha descubierto cientos de secretos validados en McP.Json, .env y archivos de configuración de agentes de IA y cuadernos de Python (.IPynb), convirtiéndolos en un tesoro para atacantes.
La firma de seguridad en la nube dijo que encontró secretos válidos pertenecientes a más de 30 empresas y nuevas empresas, incluidas las que pertenecen a compañías Fortune 100.
«Más allá de solo secretos, los resultados de la ejecución del código en los cuadernos de Python deben tratarse generalmente como sensibles», dijeron los investigadores Shay Berkovich y Rami McCarthy. «Su contenido, si se correlaciona con la organización de un desarrollador, puede proporcionar detalles de reconocimiento para actores maliciosos».