Pesquisadores de segurança cibernética descobriram uma nova campanha de malware que tem como alvo endpoints Docket API expostos publicamente com o objetivo de entregar mineradores de criptomoedas e outras cargas úteis.
Incluída entre as ferramentas implantadas está uma ferramenta de acesso remoto capaz de baixar e executar mais programas maliciosos, bem como um utilitário para propagar o malware through SSH, disse a plataforma de análise em nuvem Datadog em um relatório publicado na semana passada.
A análise da campanha descobriu sobreposições táticas com uma atividade anterior chamada Spinning YARN, que foi observada visando serviços Apache Hadoop YARN, Docker, Atlassian Confluence e Redis mal configurados para fins de cryptojacking.
O ataque começa com os agentes da ameaça concentrando-se nos servidores Docker com portas expostas (porta número 2375) para iniciar uma série de etapas, começando com reconhecimento e escalonamento de privilégios antes de prosseguir para a fase de exploração.
As cargas úteis são recuperadas da infraestrutura controlada pelo adversário executando um script de shell chamado “vurl”. Isso inclui outro script de shell chamado “b.sh” que, por sua vez, contém um binário codificado em Base64 chamado “vurl” e também é responsável por buscar e iniciar um terceiro script de shell conhecido como “ar.sh” (ou “ai. eh”).
“O script ('b.sh') decodifica e extrai esse binário para /usr/bin/vurl, substituindo a versão existente do script shell”, disse o pesquisador de segurança Matt Muir. “Este binário difere da versão do shell script no uso de domínios codificados (comando e controle).”
O script shell, “ar.sh”, executa uma série de ações, incluindo a configuração de um diretório de trabalho, a instalação de ferramentas para verificar a Web em busca de hosts vulneráveis, a desativação do firewall e, por fim, a busca da carga útil do próximo estágio, conhecida como “chkstart .”
Um binário Golang como vurl, seu principal objetivo é configurar o host para acesso remoto e buscar ferramentas adicionais, incluindo “m.tar” e “prime”, de um servidor remoto, o último dos quais é um minerador XMRig.
“Na campanha Spinning YARN authentic, grande parte da funcionalidade do chkstart period controlada por scripts de shell”, explicou Muir. “Transferir essa funcionalidade para o código Go pode sugerir que o invasor está tentando complicar o processo de análise, uma vez que a análise estática do código compilado é significativamente mais difícil do que os scripts de shell”.
O obtain junto com “chkstart” estão duas outras cargas chamadas exeremo, que é utilizado para mover lateralmente para mais hosts e espalhar a infecção, e fkoths, um binário ELF baseado em Go para apagar vestígios de atividade maliciosa e resistir aos esforços de análise.
“Exeremo” também foi projetado para descartar um script de shell (“s.sh”) que cuida da instalação de várias ferramentas de verificação, como pnscan, masscan e um scanner Docker personalizado (“sd/httpd”) para sinalizar sistemas suscetíveis.
“Esta atualização da campanha Spinning YARN mostra a disposição de continuar atacando hosts Docker mal configurados para acesso inicial”, disse Muir. “O ator de ameaça por trás desta campanha continua a iterar em cargas implantadas portando funcionalidades para Go, o que pode indicar uma tentativa de dificultar o processo de análise ou apontar para experimentação com compilações de múltiplas arquiteturas.”
