Endpoints expostos da API Docker na Internet estão sob ataque de uma sofisticada campanha de cryptojacking chamada Gato Comando.
“A campanha implanta um contêiner benigno gerado usando o projeto Commando”, disseram os pesquisadores de segurança do Cado, Nate Bill e Matt Muir, em um novo relatório publicado hoje. “O invasor escapa deste contêiner e executa várias cargas no host Docker.”
Acredita-se que a campanha esteja ativa desde o início de 2024, tornando-se a segunda campanha desse tipo a ser invenção em poucos meses. Em meados de janeiro, a empresa de segurança em nuvem também lançou luz sobre outro cluster de atividades que tem uma vez que fim hosts Docker vulneráveis para implantar o minerador de criptomoeda XMRig, muito uma vez que o software 9Hits Viewer.
Commando Cat emprega Docker uma vez que um vetor de aproximação inicial para entregar uma coleção de cargas interdependentes de um servidor controlado por ator que é responsável por registrar persistência, backdoor do host, exfiltração de credenciais do provedor de serviços de nuvem (CSP) e lançamento do minerador.
A posição obtida pela violação de instâncias suscetíveis do Docker é posteriormente abusada para implantar um contêiner inofensivo usando a utensílio de código simples Commando e executar um comando malicioso que permite evadir dos limites do contêiner por meio do comando chroot.
Ele também executa uma série de verificações para instituir se os serviços chamados “sys-kernel-debugger”, “gsc”, “c3pool_miner” e “dockercache” estão ativos no sistema comprometido e prossegue para o próximo estágio somente se esta lanço for aprovada. .
“O propósito da verificação do sys-kernel-debugger não é evidente – leste serviço não é usado em nenhum lugar do malware, nem faz secção do Linux”, disseram os pesquisadores. “É provável que o serviço faça secção de outra campanha com a qual o invasor não queira competir”.
A tempo seguinte envolve a eliminação de cargas adicionais do servidor de comando e controle (C2), incluindo um backdoor de script de shell (user.sh) que é capaz de aditar uma chave SSH ao registro ~/.ssh/authorized_keys e gerar um usuário não autorizado chamado “games” com uma senha conhecida pelo invasor e incluindo-a no registro /etc/sudoers.
Também são entregues de maneira semelhante mais três scripts de shell – tshd.sh, gsc.sh, aws.sh – que são projetados para descartar o Tiny SHell e uma versão improvisada do netcat chamada gs-netcat, e exfiltrar credenciais
Os atores da prenúncio “executam um comando no contêiner cmd.cat/chattr que recupera a trouxa útil de sua própria infraestrutura C2”, disse Muir ao The Hacker News, observando que isso é conseguido usando curl ou wget e canalizando a trouxa resultante diretamente para o bash shell de comando.
“Em vez de usar /tmp, (gsc.sh) também usa /dev/shm, que atua uma vez que um armazenamento de arquivos temporário, mas com suporte de memória”, disseram os pesquisadores. “É provável que leste seja um mecanismo de evasão, pois é muito mais generalidade que malwares usem /tmp.”
“Isso também faz com que os artefatos não toquem no disco, tornando a estudo judiciario um pouco mais difícil. Essa técnica já foi usada antes no BPFdoor – uma campanha Linux de cima perfil.”
O ataque culmina na implantação de outra trouxa que é entregue diretamente uma vez que um script codificado em Base64, em vez de ser recuperada do servidor C2, que, por sua vez, descarta o minerador de criptomoeda XMRig, mas não antes de expelir os processos de mineradores concorrentes da máquina infectada.
As origens exatas do agente da prenúncio por trás do Commando Cat não são claras no momento, embora tenha sido observado que os scripts de shell e o endereço IP C2 se sobrepõem àqueles vinculados a grupos de cryptojacking uma vez que o TeamTNT no pretérito, levantando a possibilidade de que possa ser um grupo plagiador. .
“O malware funciona uma vez que ladrão de credenciais, backdoor altamente furtivo e minerador de criptomoedas, tudo em um”, disseram os pesquisadores. “Isso o torna versátil e capaz de extrair o sumo de valor provável das máquinas infectadas.”
