Pesquisadores descobriram uma nova campanha de malware que tem como alvo endpoints de API Docker publicamente expostos, com o objetivo de implantar moradores de criptomoedas e outras cargas maliciosas. Entre as ferramentas implantadas está uma ferramenta de acesso remoto capaz de baixar e executar programas maliciosos adicionais, bem como uma utilidade para propagar o malware via SSH, conforme relatado pela plataforma de análise em nuvem Datadog em um relatório publicado na semana passada.
O ataque começa com os atores da ameaça focando em servidores Docker com portas expostas (porta 2375) para iniciar uma série de etapas, começando com reconhecimento e escalonamento de privilégios antes de prosseguir para a fase de exploração.
As cargas são recuperadas de uma infraestrutura controlada pelos adversários executando um script de shell chamado “vurl“. Isso inclui outro script de shell chamado “b.sh” que, por sua vez, contém um binário codificado em Base64 chamado “vurl” e é responsável por buscar e lançar um terceiro script de shell conhecido como “ar.sh” (ou “ai.sh”).
“O script [‘b.sh’] decodifica e extrai esse binário para /usr/bin/vurl, sobrescrevendo a versão do script de shell existente”, disse o pesquisador de segurança Matt Muir. “Esse binário difere da versão do script de shell em seu uso de domínios de comando e controle embutidos.”
O script de shell, “ar.sh”, realiza várias ações, incluindo configurar um diretório de trabalho, instalar ferramentas para escanear a internet em busca de hosts vulneráveis, desativar o firewall e, finalmente, buscar a carga de próxima etapa, chamada “chkstart“. Um binário Golang como o vurl, seu objetivo principal é configurar o host para acesso remoto e buscar ferramentas adicionais, incluindo “m.tar” e “top“, este último um minerador XMRig.
“Na campanha original do Spinning YARN, grande parte da funcionalidade do chkstart era manejada por scripts de shell,” explicou Muir. “Portar essa funcionalidade para o código Go pode sugerir que o atacante está tentando complicar o processo de análise, uma vez que a análise estática de código compilado é significativamente mais difícil do que a de scripts de shell.”
Junto com o “chkstart” são baixadas duas outras cargas chamadas exeremo, que é utilizada para se mover lateralmente para mais hosts e espalhar a infecção, e fkoths, um binário ELF baseado em Go para apagar vestígios da atividade maliciosa e resistir aos esforços de análise. “Exeremo” também é projetado para deixar um script de shell (“s.sh“) que cuida de instalar várias ferramentas de varredura, como pnscan, masscan e um scanner Docker personalizado (“sd/httpd“) para identificar sistemas suscetíveis.
“Essa atualização para a campanha Spinning YARN mostra uma disposição em continuar atacando hosts Docker mal configurados para obter acesso inicial,” disse Muir. “O ator da ameaça por trás dessa campanha continua a iterar nas cargas implantadas ao portar funcionalidades para o Go, o que pode indicar uma tentativa de dificultar o processo de análise, ou apontar para experimentos com compilações multi-arquitetura.”
Quer amadurecer seu programa de segurança cibernética? Conheça a EcoTrust, uma plataforma CAASM (Cyber Asset Attack Surface Management) que transforma riscos cibernéticos em respostas confiáveis. Agende uma demo aqui
Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.