- 1 Attacchi mirati a istanze Docker mal configurate
- 2 Utilizzo di Tor per anonimizzare le origini
- 3 Rischi di sicurezza e fuga dal container
- 4 Infrastruttura di comando e controllo nascosta
- 5 Modifica della configurazione SSH e strumenti installati
- 6 Tendenza degli attacchi informatici e ambienti cloud
Attacchi mirati a istanze Docker mal configurate
Le istanze Docker mal configurate sono diventate il bersaglio di una campagna che sfrutta la rete di anonimato Tor per minare criptovalute in modo furtivo in ambienti vulnerabili. Gli attaccanti stanno sfruttando le API Docker mal configurate per accedere agli ambienti containerizzati, utilizzando Tor per mascherare le loro attività mentre distribuiscono miner di criptovaluta.
Utilizzo di Tor per anonimizzare le origini
Secondo i ricercatori di Trend Micro, Sunil Bharti e Shubham Singh, l’idea di utilizzare Tor è quella di anonimizzare le origini durante l’installazione del miner sui sistemi compromessi. Gli attacchi iniziano con una richiesta dall’indirizzo IP 198.199.72[.]27 per ottenere un elenco di tutti i container sulla macchina. Se non sono presenti container, l’attaccante procede a crearne uno nuovo basato sull’immagine Docker “alpine” e monta la directory “/hostroot” come volume all’interno del container.
Rischi di sicurezza e fuga dal container
Questo comportamento pone rischi di sicurezza poiché consente al container di accedere e modificare file e directory sul sistema host, risultando in una fuga dal container. Gli attori della minaccia eseguono quindi una sequenza di azioni attentamente orchestrata che prevede l’esecuzione di uno script shell codificato in Base64 per configurare Tor sul container e, infine, recuperare ed eseguire uno script remoto da un dominio .onion.
Infrastruttura di comando e controllo nascosta
Questa tattica riflette un approccio comune utilizzato dagli attaccanti per nascondere l’infrastruttura di comando e controllo (C&C), evitare il rilevamento e distribuire malware o miner all’interno di ambienti cloud o container compromessi. Inoltre, l’attaccante utilizza ‘socks5h’ per instradare tutto il traffico e la risoluzione DNS attraverso Tor per una maggiore anonimizzazione ed evasione.
Modifica della configurazione SSH e strumenti installati
Una volta creato il container, viene distribuito lo script shell “docker-init.sh”, che verifica la directory “/hostroot” montata in precedenza e modifica la configurazione SSH del sistema per configurare l’accesso remoto abilitando il login root e aggiungendo una chiave SSH controllata dall’attaccante nel file ~/.ssh/authorized_keys. L’attore della minaccia è stato anche trovato a installare vari strumenti come masscan, libpcap, zstd e torsocks, per inviare al server C&C dettagli sul sistema infetto e, infine, distribuire un binario che funge da dropper per il miner di criptovaluta XMRig.
Tendenza degli attacchi informatici e ambienti cloud
Questo approccio aiuta gli attaccanti a evitare il rilevamento e semplifica la distribuzione in ambienti compromessi. Trend Micro ha osservato che l’attività prende di mira aziende tecnologiche, servizi finanziari e organizzazioni sanitarie. I risultati indicano una tendenza in corso di attacchi informatici che prendono di mira ambienti cloud mal configurati o poco sicuri per scopi di cryptojacking.
Fonte: The Hackers News
