O ator de ameaça conhecido como Gato Comando foi vinculado a uma campanha contínua de ataque de criptojacking que aproveita instâncias mal protegidas do Docker para implantar mineradores de criptomoedas para obter ganhos financeiros.
“Os invasores usaram o contêiner de imagem docker cmd.cat/chattr que recupera a carga útil de sua própria infraestrutura de comando e controle (C&C)”, disseram os pesquisadores da Development Micro, Sunil Bharti e Shubham Singh, em uma análise de quinta-feira.
Commando Cat, assim chamado por usar o projeto Commando de código aberto para gerar um contêiner benigno, foi documentado pela primeira vez no início deste ano pela Cado Safety.
Os ataques são caracterizados pelo direcionamento de servidores API remotos do Docker mal configurados para implantar uma imagem do Docker chamada cmd.cat/chattr, que é então usada como base para instanciar um contêiner e sair de seus limites usando o comando chroot e obter acesso para o sistema operacional host.
A etapa closing envolve a recuperação do binário minerador malicioso usando um comando curl ou wget de um servidor C&C (“leetdbs.anondns(.)web/z”) por meio de um script de shell. Suspeita-se que o binário seja ZiggyStarTux, um bot de IRC de código aberto baseado no malware Kaiten (também conhecido como Tsunami).
“O significado desta campanha de ataque reside no uso de imagens Docker para implantar scripts de cryptojacking em sistemas comprometidos”, disseram os pesquisadores. “Essa tática permite que invasores explorem vulnerabilidades nas configurações do Docker enquanto evitam a detecção por software program de segurança.”
A divulgação ocorre no momento em que a Akamai revela que falhas de segurança antigas em aplicativos ThinkPHP (por exemplo, CVE-2018-20062 e CVE-2019-9082) estão sendo exploradas por um suspeito de ameaça de língua chinesa para fornecer um internet shell apelidado de Dama como parte de uma campanha que está em andamento desde 17 de outubro de 2023.
“A exploração tenta recuperar código ofuscado adicional de outro servidor ThinkPHP comprometido para obter uma posição inicial”, disseram os pesquisadores da Akamai Ron Mankivsky e Maxim Zavodchik. “Depois de explorar com sucesso o sistema, os invasores instalarão um internet shell em chinês chamado Dama para manter acesso persistente ao servidor”.
O internet shell está equipado com vários recursos avançados para coletar dados do sistema, fazer add de arquivos, verificar portas de rede, escalar privilégios e navegar no sistema de arquivos, o último dos quais permite que os agentes de ameaças executem operações como edição de arquivos, exclusão e modificação de carimbo de information/hora para fins de ofuscação.
“Os ataques recentes originados por um adversário de língua chinesa destacam uma tendência contínua de invasores que usam um internet shell completo, projetado para controle avançado de vítimas”, observaram os pesquisadores. “Curiosamente, nem todos os clientes-alvo usavam ThinkPHP, o que sugere que os invasores podem estar atacando indiscriminadamente uma ampla gama de sistemas”.
