Le istanze dell’API Docker errata sono diventate l’obiettivo di una nuova campagna di malware che li trasforma in una botnet di mining di criptovaluta.
Gli attacchi, progettati per estrarre la valuta Dero, sono notevoli per le sue capacità simili a worm di propagare il malware advert altre istanze del docker esposte e li corrompono in un’orda in continua crescita di robotic minerari.
Kaspersky ha affermato di aver osservato un attore di minaccia non identificato che ha ottenuto l’accesso iniziale a un’infrastruttura containerizzata in esecuzione sfruttando un’API Docker pubblicata in modo non confortevole e quindi armando che l’accesso per creare la rete di criptojacking illecita.
“Ciò ha portato a compromettere i contenitori in esecuzione e quelli nuovi sono stati creati non solo per dirottare le risorse della vittima per il mining di criptovaluta, ma anche per lanciare attacchi esterni per propagarsi advert altre reti”, il ricercatore della sicurezza ha creato Wageh disse.
La catena di attacco viene realizzata attraverso due componenti: un malware di propagazione “NGINX” che scansiona Web per le API Docker esposte e il minatore di criptovaluta Dero “Cloud”. Entrambi i payload sono sviluppati utilizzando Golang. L’uso di “Nginx” è un tentativo deliberato di mascherarsi come legittimo server Internet Nginx e volare sotto il radar.
Il malware di propagazione è progettato per registrare le attività in esecuzione del malware, avviare il minatore ed entrare in un ciclo infinito per generare sottoreti di rete IPv4 casuali per contrassegnare istanze Docker più sensibili che hanno la porta API predefinita 2375 aperta e compromettendole.
Procede quindi a verificare se il remoto Dockerd Daemon sull’host con un IPv4 corrispondente è in esecuzione e reattiva. Se non riesce a eseguire il comando “Docker -h PS”, “Nginx” si sposta semplicemente nell’indirizzo IP successivo dall’elenco.
“Dopo aver confermato che il demone Dockerd remoto è in esecuzione e reattivo, Nginx genera un nome contenitore con 12 caratteri casuali e lo usa per creare un contenitore dannoso sull’obiettivo remoto”, ha spiegato Wageh. “Quindi Nginx prepara il nuovo contenitore a installare le dipendenze in seguito aggiornando i pacchetti tramite ‘Docker -h Exec Apt -get -yq Aggiornamento.'”
Lo strumento di propagazione installa quindi MassCan e Docker.io nel contenitore in modo da consentire al malware di interagire con il demone Docker e di eseguire la scansione esterna per infettare altre reti, diffondendo efficacemente il malware. Nell’ultima fase, i due payload “Nginx” e “Cloud” vengono trasferiti al contenitore usando il comando “Docker -h CP -l/usr/bin/:/usr/bin.”
Come modo per impostare la persistenza, il binario “Nginx” trasferito viene aggiunto al file “/root/.bash_aliases” per assicurarsi che si lanci automaticamente dopo l’accesso a shell. Un altro aspetto significativo del malware è che è inoltre progettato per infettare contenitori in esecuzione a base di Ubuntu su host vulnerabili remoti.
L’obiettivo finale della campagna è quello di eseguire il minatore di criptovaluta Dero, che si basa sul minatore Open-Supply Derohe CLI disponibile su GitHub.
Kaspersky ha valutato che l’attività si sovrappone a una campagna di mining Dero che period precedentemente documentato Di Crowdstrike nel marzo 2023 di focusing on per cluster di Kubernetes in base all’indirizzo del portafoglio e agli indirizzi del nodo Derod utilizzati. Una successiva iterazione della stessa campagna fu segnalato di Wiz nel giugno 2024.
“Gli ambienti containerizzati sono stati compromessi attraverso una combinazione di un minatore precedentemente noto e un nuovo campione che ha creato contenitori dannosi e infetti quelli esistenti”, ha detto Wageh. “I due impianti dannosi si sono diffusi senza un server C2, creando una rete che abbia un’infrastruttura contenizzata e pubblicata in modo titolare API Docker su Web un potenziale obiettivo.”
Lo sviluppo arriva quando l’Ahnlab Safety Intelligence Heart (ASEC) ha dettagliato una campagna che comporta lo spiegamento del minatore di monete Monero insieme a un backdoor mai visto prima che utilizza il PybitMessage Protocollo di comunicazione peer-to-peer (P2P) per elaborare le istruzioni in arrivo ed eseguirle come script PowerShell.
L’esatto metodo di distribuzione utilizzato nella campagna non è attualmente noto, ma si sospetta di essere mascherato da versioni incrinate di software program popolare, rendendo essenziale che gli utenti evitino di scaricare file da fonti sconosciute o non attendibili e attenersi a canali di distribuzione legittimi.
“Il protocollo BitMessage è un sistema di messaggistica progettato con anonimato e decentramento in mente e presenta la prevenzione dell’intercettazione da parte degli intermediari e l’anonimizzazione di mittenti e ricevitori di messaggi”, ASEC disse.
“Gli attori delle minacce hanno sfruttato il modulo PybitMessage, che implementa questo protocollo nell’ambiente Python, per scambiare pacchetti crittografati in un formato simile al traffico Internet normale. In particolare, i comandi C2 e i messaggi di controllo sono nascosti all’interno di messaggi di utenti reali nella rete di bitmessage.”
