I ricercatori di Cybersecurity hanno scoperto una nuova campagna di criptojacking che si rivolge a server Net DevOps accessibili al pubblico come quelli associati a Docker, Gitea e Console Hashicorp e Nomad a mine illecitamente le criptovalute.
La società di sicurezza cloud Wiz, che sta monitorando l’attività sotto il nome Jinx-0132ha detto che gli aggressori stanno sfruttando una vasta gamma di malinfigurazioni e vulnerabilità word per consegnare il payload del minatore.
“In particolare, questa campagna segna quella che crediamo essere la prima istanza documentata pubblicamente di errate configurazioni di Nomad sfruttata come vettore di attacco in natura”, i ricercatori Gili Tikochinski, Danielle Aminov e Merav Bar disse In un rapporto condiviso con le notizie di Hacker.
Ciò che imposta ulteriormente questi attacchi è che i cattivi attori scaricano gli strumenti necessari direttamente dai repository di GitHub piuttosto che utilizzare la propria infrastruttura per scopi di stadiazione. L’uso di strumenti normal è visto come un tentativo deliberato di clovare gli sforzi di attribuzione.
Si cube che Jinx-0132 abbia istanze Nomad compromesse che gestiscono centinaia di clienti che, knowledge le risorse CPU e RAM combinate, costerebbero decine di migliaia di dollari al mese. Questo serve anche a evidenziare il potere di calcolo che guida l’attività di criptojacking.
Vale la pena ricordare che l’abuso dell’API Docker è un noto launchpad per tali attacchi. Proprio la scorsa settimana, Kaspersky rivelato Che gli attori delle minacce stanno prendendo di mira le istanze dell’API Docker errata per arruolarli in una botnet di mining di criptovaluta.
Le istanze API Docker Uncovered aprono la porta agli attori delle minacce per eseguire codice dannoso girando contenitori che montano il file system host o avviano un’immagine di criptovaluta invocando gli endpoint Docker normal come “/Container/Crea” e “/Container/{Id}/Begin”.
Wiz ha affermato che gli attori delle minacce stanno anche sfruttando una vulnerabilità (advert esempio, CVE-2020-14144) o la configurazione sbagliata in Gitea, una soluzione open supply leggera per l’internet hosting di repository GIT, per ottenere un punto d’appoggio iniziale nel bersaglio.
In particolare, è stato riscontrato che le istanze esposte pubblicamente di Gitea sono vulnerabili all’esecuzione del codice remoto se l’attaccante ha accesso a un utente esistente con l’autorizzazione per creare ganci git, stanno eseguendo la versione 1.4.0 o la pagina di installazione è stata lasciata sbloccata (IE, install_lock = false).
Anche il console di Hashicorp potrebbe aprire la strada all’esecuzione del codice arbitrario se il sistema non lo è configurato correttamente e consente a qualsiasi utente l’accesso remoto al server per registrare i servizi e definire controlli sanitari, che, a loro volta, possono includere un comando bash che verrà eseguito dall’agente registrato.
“Nella campagna orchestrata da Jinx-0132, hanno abusato di questa capacità di aggiungere controlli dannosi che, in pratica, semplicemente eseguono software program di mining”, ha detto Wiz. “Jinx-0132 aggiunge più servizi con nomi apparentemente casuali il cui scopo reale period scaricare ed eseguire il payload XMrig.”
Jinx-0132 è stato anche osservato sfruttando errate configurazioni nell’API Nomad Server esposta pubblicamente per creare più nuovi posti di lavoro su host compromessi che sono responsabili del obtain del payload XMRIG Miner da GitHub ed eseguirlo. Gli attacchi dipendono dal fatto che Nomad lo è non sicuro per default Per creare ed eseguire questi lavori.
“Questa configurazione predefinita significa efficacemente che l’accesso senza restrizioni all’API del server può essere equivalente alle funzionalità di esecuzione del codice remoto (RCE) sul server stesso e su tutti i nodi connessi”, ha affermato Wiz.
Secondo i dati di Shodan, ci sono oltre 5.300 server consoli esposti e oltre 400 server Nomad esposti in tutto il mondo. La maggior parte delle esposizioni si concentrano intorno alla Cina, agli Stati Uniti, alla Germania, a Singapore, alla Finlandia, ai Paesi Bassi e al Regno Unito.
L’attaccante sfrutta il sistema WebUI aperto esposto a Web per eseguire Miner
La divulgazione arriva quando Sysdig ha rivelato i dettagli di una campagna di malware che mira a Linux e Home windows sfruttando un internet hosting di sistema errato figurato Open WebUI caricare una sceneggiatura di Python generata dall’intelligenza artificiale (AI) e alla high quality consegnare minatori di criptovaluta.
“L’esposizione a Web ha permesso a chiunque di eseguire i comandi sul sistema: un pericoloso errore degli aggressori è ben consapevole e scansionando attivamente”, i ricercatori della sicurezza Miguel Hernandez e Alessandra Rizzo disse In un rapporto condiviso con la pubblicazione.
“Una volta che gli aggressori hanno scoperto il sistema di allenamento esposto, hanno iniziato a utilizzare strumenti WebUI aperti, un sistema di plug -in utilizzato per migliorare le funzionalità LLM. Open WebUI consente di caricare gli script di Python in modo che LLMS possa usarli per estendere la loro funzionalità. Una volta caricato come strumento WebUI aperto, il codice Python Malicious è stato eseguito.”
Il codice Python, ha detto Sysdig, è progettato per scaricare ed eseguire minatori di criptovaluta come T-Rex e XMrig, crea un servizio SystemD per la persistenza e utilizza un webhook Discord per comandi e controllo (C2). Il malware incorpora anche librerie come ProcessHider e Argvhider per nascondere il processo di mining sui sistemi Linux e funge da tattica di evasione della difesa.
Sui sistemi di Home windows compromessi, l’attacco procede lungo linee simili, ma comporta anche la distribuzione del package di sviluppo Java (JDK) al high quality di eseguire un file JAR (“Software-Ref.jar”) scaricato da 185.208.159 (.) 155. Il file JAR, da parte sua, funge da caricatore basato su Java per eseguire un payload secondario Jar.
La catena di attacco culmina con l’esecuzione di due file “int_d.dat” e “int_j.dat”, quest’ultimo è attrezzato per rubare le credenziali affiliate alle estensioni del portafoglio discordia e criptovaluta installate in Google Chrome.
Sysdig ha affermato che ci sono più di 17.000 istanze WebUI aperte che sono accessibili su Web. Tuttavia, non è chiaro quanti siano effettivamente configurati sbagliati o suscettibili advert altri punti deboli della sicurezza.
“Le errate configurazioni accidentali in cui sistemi come Open WebUI sono esposti a Web rimangono un problema serio”, hanno affermato i ricercatori. “L’attaccante ha anche preso di mira sia i sistemi Linux che Home windows, con la versione di Home windows che embody sofisticate tecniche di Infostealer e di evasione.”
