Hackers exploram servidores YARN, Docker, Confluence e Redis configurados incorretamente para mineração de criptografia
Os agentes de ameaças têm porquê cândido servidores mal configurados e vulneráveis que executam os serviços Apache Hadoop YARN, Docker, Atlassian Confluence e Redis porquê secção de uma campanha emergente de malware projetada para fornecer um minerador de criptomoedas e gerar um shell revirado para chegada remoto persistente.
“Os invasores aproveitam essas ferramentas para exprimir código de exploração, aproveitando configurações incorretas comuns e explorando uma vulnerabilidade de N dias, para conduzir ataques de realização remota de código (RCE) e infectar novos hosts”, disse Matt Muir, pesquisador de segurança do Cado, em um relatório compartilhado com As notícias dos hackers.
A atividade recebeu o codinome Fiação de fio pela empresa de segurança em nuvem, com sobreposições a ataques em nuvem atribuídos a TeamTNT, WatchDog e um cluster denominado Kiss-a-dog.
Tudo começa com a implantação de quatro novas cargas Golang que são capazes de automatizar a identificação e exploração de hosts Confluence, Docker, Hadoop YARN e Redis suscetíveis. Os utilitários espalhadores aproveitam o masscan ou o pnscan para procurar esses serviços.
“Para o comprometimento do Docker, os invasores geram um contêiner e escapam dele para o host subjacente”, explicou Muir.
O chegada inicial abre caminho para a implantação de ferramentas adicionais para instalar rootkits porquê libprocesshider e diamorphine para ocultar processos maliciosos, descartar o utilitário de shell revirado de código desimpedido Platypus e, por término, iniciar o minerador XMRig.
“Está evidente que os invasores estão investindo um tempo significativo na compreensão dos tipos de serviços voltados para a Web implantados em ambientes de nuvem, mantendo-se atualizados sobre as vulnerabilidades relatadas nesses serviços e usando esse conhecimento para lucrar uma posição segura nos ambientes cândido”, disse a empresa.
O desenvolvimento ocorre no momento em que a Uptycs revela a exploração de falhas de segurança conhecidas pela 8220 Gang no Apache Log4j (CVE-2021-44228) e no Atlassian Confluence Server and Data Center (CVE-2022-26134) porquê secção de uma vaga de ataques direcionados à infraestrutura de nuvem a partir de maio de 2023 até fevereiro de 2024.
“Ao aproveitar as varreduras da Internet para aplicativos vulneráveis, o grupo identifica possíveis pontos de ingressão em sistemas em nuvem, explorando vulnerabilidades não corrigidas para obter chegada não autorizado”, disseram os pesquisadores de segurança Tejaswini Sandapolla e Shilpesh Trivedi.
“Uma vez lá dentro, eles implantam uma série de técnicas avançadas de evasão, demonstrando um profundo conhecimento de porquê velejar e manipular ambientes de nuvem em seu mercê. Isso inclui desabilitar a emprego de segurança, modificar regras de firewall e remover serviços de segurança de nuvem, garantindo assim suas atividades maliciosas. continua indetectado.”
Os ataques, que destacam hosts Windows e Linux, visam implantar um minerador de criptomoedas, mas não antes de tomar uma série de medidas que priorizam a furtividade e a evasão.
Também segue o desfeita de serviços em nuvem destinados principalmente a soluções de perceptibilidade sintético (IA) para expulsar mineradores de criptomoedas e também hospedar malware.
“Com a mineração e a IA exigindo chegada a grandes quantidades de poder de processamento da GPU, há um visível intensidade de transferibilidade para seus ambientes de hardware básicos”, observou HiddenLayer no ano pretérito.
Cado, em seu relatório de descobertas de ameaças na nuvem do segundo semestre de 2023, observou que os agentes de ameaças estão cada vez mais visando serviços em nuvem que exigem conhecimento técnico especializado para serem explorados, e que o cryptojacking não é mais o único motivo.
“Com a invenção de novas variantes Linux de famílias de ransomware, porquê o Abyss Locker, há uma tendência preocupante de ransomware em sistemas Linux e ESXi”, afirmou. “A infraestrutura em nuvem e Linux está agora sujeita a uma variedade mais ampla de ataques”.
