- 1 Le istanze Docker API mal configurate nel mirino di una nuova campagna malware
- 2 Accesso iniziale e compromissione delle risorse
- 3 Componenti dell’attacco e modalità di propagazione
- 4 Meccanismo di infezione e diffusione
- 5 Creazione di container malevoli e persistenza
- 6 Obiettivo finale della campagna
Le istanze Docker API mal configurate nel mirino di una nuova campagna malware
Le istanze Docker API mal configurate sono diventate il bersaglio di una nuova campagna malware che le trasforma in una botnet per il mining di criptovalute. Gli attacchi, progettati per minare la criptovaluta Dero, si distinguono per le loro capacità simili a un worm, che consentono al malware di propagarsi ad altre istanze Docker esposte, integrandole in un’orda crescente di bot per il mining.
Accesso iniziale e compromissione delle risorse
Secondo Kaspersky, un attore di minaccia non identificato ha ottenuto l’accesso iniziale a un’infrastruttura containerizzata in esecuzione sfruttando un Docker API pubblicato in modo insicuro. Questo accesso è stato poi utilizzato per creare una rete di cryptojacking illecita. “Questo ha portato alla compromissione dei container in esecuzione e alla creazione di nuovi, non solo per dirottare le risorse della vittima per il mining di criptovalute, ma anche per lanciare attacchi esterni e propagarsi ad altre reti”, ha spiegato il ricercatore di sicurezza Amged Wageh.
Componenti dell’attacco e modalità di propagazione
La catena di attacco si realizza attraverso due componenti: un malware di propagazione chiamato “nginx” che scansiona Internet alla ricerca di Docker API esposte e il miner di criptovaluta Dero “cloud”. Entrambi i payload sono sviluppati utilizzando Golang. L’uso di “nginx” è un tentativo deliberato di mascherarsi come il legittimo server web nginx per passare inosservato.
Meccanismo di infezione e diffusione
Il malware di propagazione è progettato per registrare le attività in esecuzione del malware, avviare il miner e entrare in un ciclo infinito per generare sottoreti IPv4 casuali, individuando altre istanze Docker suscettibili con la porta API predefinita 2375 aperta e compromettendole. Successivamente, verifica se il demone dockerd remoto sull’host con un IPv4 corrispondente è in esecuzione e reattivo. Se non riesce a eseguire il comando “docker -H PS”, “nginx” passa semplicemente all’indirizzo IP successivo dalla lista.
Creazione di container malevoli e persistenza
Dopo aver confermato che il demone dockerd remoto è in esecuzione e reattivo, nginx genera un nome di container con 12 caratteri casuali e lo utilizza per creare un container malevolo sul target remoto. Successivamente, nginx prepara il nuovo container per installare le dipendenze aggiornando i pacchetti tramite ‘docker -H exec apt-get -yq update’. Lo strumento di propagazione installa quindi masscan e docker.io nel container per consentire al malware di interagire con il demone Docker e di eseguire la scansione esterna per infettare altre reti, diffondendo ulteriormente il malware.
Obiettivo finale della campagna
Nell’ultima fase, i due payload “nginx” e “cloud” vengono trasferiti al container utilizzando il comando “docker -H cp -L /usr/bin/ :/usr/bin.”. Per garantire la persistenza, il binario “nginx” trasferito viene aggiunto al file “/root/.bash_aliases” per assicurarsi che si avvii automaticamente al login della shell. Un altro aspetto significativo del malware è che è progettato anche per infettare i container in esecuzione basati su Ubuntu su host vulnerabili remoti. L’obiettivo finale della campagna è eseguire il miner di criptovaluta Dero, basato sul miner open-source DeroHE CLI disponibile su GitHub.
Fonte: The Hackers News
