spot_img
13.9 C
São Paulo
spot_img
HomeTop Global NewsAI"Campanha de Cryptojacking Ataca API do Docker: Descubra Como!"

“Campanha de Cryptojacking Ataca API do Docker: Descubra Como!”

Alegonthn
By Alegonthn

Campanha de Cryptojacking Alvo do Docker Engine API

Pesquisadores de segurança cibernética descobriram uma nova campanha de cryptojacking que está atacando a API do Docker Engine com o objetivo de cooptar instâncias para se juntarem a um Docker Swarm malicioso controlado pelo ator de ameaça.

Vulnerabilidades Exploradas

Os ataques utilizam o Docker para obter acesso inicial e implantar um minerador de criptomoedas em contêineres comprometidos. Além disso, eles buscam e executam cargas adicionais que são responsáveis por realizar movimentos laterais para hosts relacionados que estão executando Docker, Kubernetes ou SSH.

  • Identificação de endpoints da API do Docker não autenticados e expostos usando ferramentas de varredura de Internet, como masscan e ZGrab.
  • Utilização da API do Docker para criar um contêiner Alpine e obter um script de inicialização (init.sh) de um servidor remoto que verifica se está sendo executado como usuário root e se ferramentas como curl e wget estão instaladas antes de baixar o minerador XMRig.

Esquema de Propagação

O script de inicialização também busca três outros scripts – kube.lateral.sh, spread_docker_local.sh, e spread_ssh.sh – do mesmo servidor para realizar movimentação lateral em endpoints Docker, Kubernetes e SSH na rede.

“A script spread_docker_local.sh utiliza masscan e zgrab para escanear os mesmos intervalos de LAN para nós com as portas 2375, 2376, 2377, 4244 e 4243 abertas, associadas ao Docker Engine ou Docker Swarm.”

Para cada IP descoberto com as portas alvo abertas, o malware tenta criar um novo contêiner com o nome de Alpine, que é baseado em uma imagem chamada upspin, hospedada no Docker Hub.

Manutenção de Acesso Persistente

O terceiro script, spread_ssh.sh, tem a capacidade de comprometer servidores SSH, adicionar uma chave SSH e um novo usuário chamado ftp, permitindo que os atores de ameaça se conectem remotamente aos hosts e mantenham acesso persistente.

Attack Cryptojacking

Objetivos Finais

No estágio final, as cargas laterais do Kubernetes e SSH executam outro script chamado setup_mr.sh que recupera e inicia o minerador de criptomoedas.

Os pesquisadores identificaram outros três scripts hospedados no servidor de comando e controle (C2):

  • ar.sh, uma variante do init.sh que modifica regras do iptables e limpa logs e cron jobs para evadir detecções.
  • TDGINIT.sh, que baixa ferramentas de varredura e implanta um contêiner malicioso em cada host Docker identificado.
  • pdflushs.sh, que instala uma backdoor persistente adicionando uma chave SSH controlada pelo ator de ameaça ao arquivo /root/.ssh/authorized_keys.

Conclusão

Embora não esteja claro quem está por trás da campanha, as táticas, técnicas e procedimentos utilizados sobrepõem-se aos de um grupo de ameaças conhecido como TeamTNT.

“Esta campanha demonstra que serviços como Docker e Kubernetes continuam sendo proveitosos para atores de ameaça conduzindo cryptojacking em larga escala.”

O desenvolvimento destaca a importância de manter as APIs do Docker devidamente autenticadas e evitar a exposição na Internet para proteger sistemas contra tais ataques.

#cryptojacking #DockerSecurity #CyberThreats #Kubernetes #APIProtection
The Hacker News
https://thehackernews.com/2024/10/new-cryptojacking-attack-targets-docker.html

Previous article
“Ciberataques Aumentam 70%: Emirados em Alerta Máximo!”
Next article
“Sniper Dz: A Nova Arma do Phishing Global!”

latest articles

explore more

Bem-vindo ao meu site! Aqui você encontrará assuntos que fazem parte do meu dia a dia, com temas variados que refletem meus interesses e experiências. Sente-se, pegue um café e aproveite o conteúdo que preparei com carinho. Tenho certeza de que você vai curtir!

most viewed

trending right now

Copyright © Alegon.

Disclaimer

FAQ

Cookies

Privacy

About

Contact us