Исполнитель угрозы, известный как Commando Cat, был связан с продолжающейся кампанией криптоджекинговых атак, которая использует плохо защищенные экземпляры Docker для использования майнеров криптовалюты для получения финансовой выгоды.
"Злоумышленники использовали cmd.cat/chattr контейнер docker image, который извлекает полезную нагрузку из своей собственной инфраструктуры командования и контроля (C&C)", - сказали исследователи Trend Micro Сунил Бхарти и Шубхам Сингх в анализе, проведенном в четверг.
Commando Cat, названный так за использование проекта Commando с открытым исходным кодом для создания безопасного контейнера, был впервые задокументирован ранее в этом году Cado Security.
Атаки характеризуются нацеливанием на неправильно настроенные серверы удаленного API Docker для развертывания образа Docker с именем cmd.cat/chattr, которые затем используются в качестве основы для создания экземпляра контейнера и выхода за его пределы с помощью команды chroot и получения доступа к операционной системе хоста.
Последний шаг включает в себя извлечение двоичного файла вредоносного майнера с помощью команды curl или wget с C & C сервера ("leetdbs.anondns[.]net / z") с помощью сценария оболочки. Предполагается, что бинарным файлом является ZiggyStarTux, IRC-бот с открытым исходным кодом, основанный на вредоносном ПО Kaiten (он же Tsunami).
"Важность этой кампании атак заключается в использовании образов Docker для развертывания скриптов криптоджекинга в скомпрометированных системах", - сказали исследователи. "Эта тактика позволяет злоумышленникам использовать уязвимости в конфигурациях Docker, избегая обнаружения программным обеспечением безопасности".
Раскрытие происходит после того, как Akamai обнаружила, что многолетние недостатки безопасности в приложениях ThinkPHP (например, CVE-2018-20062 и CVE-2019-9082) используются предполагаемым субъектом угроз, говорящим на китайском языке, для создания веб-оболочки под названием Dama в рамках кампании, которая проводится с 17 октября 2023 года.
"Эксплойт пытается получить дополнительный запутанный код с другого скомпрометированного сервера ThinkPHP, чтобы закрепиться на начальном этапе", - сказали исследователи Akamai Рон Манкивски и Максим Заводчик. "После успешного использования системы злоумышленники установят веб-оболочку на китайском языке с именем Dama для поддержания постоянного доступа к серверу".
Веб-оболочка оснащена несколькими расширенными возможностями для сбора системных данных, загрузки файлов, сканирования сетевых портов, повышения привилегий и навигации по файловой системе, последняя из которых позволяет субъектам угрозы выполнять такие операции, как редактирование файлов, удаление и модификация временных меток в целях обфускации.
"Недавние атаки, инициированные злоумышленником, говорящим на китайском языке, подчеркивают сохраняющуюся тенденцию использования злоумышленниками полноценной веб-оболочки, разработанной для расширенного контроля над жертвами", - отметили исследователи. "Интересно, что не все целевые клиенты использовали ThinkPHP, что наводит на мысль, что злоумышленники могут без разбора атаковать широкий спектр систем".
"Злоумышленники использовали cmd.cat/chattr контейнер docker image, который извлекает полезную нагрузку из своей собственной инфраструктуры командования и контроля (C&C)", - сказали исследователи Trend Micro Сунил Бхарти и Шубхам Сингх в анализе, проведенном в четверг.
Commando Cat, названный так за использование проекта Commando с открытым исходным кодом для создания безопасного контейнера, был впервые задокументирован ранее в этом году Cado Security.
Атаки характеризуются нацеливанием на неправильно настроенные серверы удаленного API Docker для развертывания образа Docker с именем cmd.cat/chattr, которые затем используются в качестве основы для создания экземпляра контейнера и выхода за его пределы с помощью команды chroot и получения доступа к операционной системе хоста.
Последний шаг включает в себя извлечение двоичного файла вредоносного майнера с помощью команды curl или wget с C & C сервера ("leetdbs.anondns[.]net / z") с помощью сценария оболочки. Предполагается, что бинарным файлом является ZiggyStarTux, IRC-бот с открытым исходным кодом, основанный на вредоносном ПО Kaiten (он же Tsunami).
"Важность этой кампании атак заключается в использовании образов Docker для развертывания скриптов криптоджекинга в скомпрометированных системах", - сказали исследователи. "Эта тактика позволяет злоумышленникам использовать уязвимости в конфигурациях Docker, избегая обнаружения программным обеспечением безопасности".
Раскрытие происходит после того, как Akamai обнаружила, что многолетние недостатки безопасности в приложениях ThinkPHP (например, CVE-2018-20062 и CVE-2019-9082) используются предполагаемым субъектом угроз, говорящим на китайском языке, для создания веб-оболочки под названием Dama в рамках кампании, которая проводится с 17 октября 2023 года.
"Эксплойт пытается получить дополнительный запутанный код с другого скомпрометированного сервера ThinkPHP, чтобы закрепиться на начальном этапе", - сказали исследователи Akamai Рон Манкивски и Максим Заводчик. "После успешного использования системы злоумышленники установят веб-оболочку на китайском языке с именем Dama для поддержания постоянного доступа к серверу".
Веб-оболочка оснащена несколькими расширенными возможностями для сбора системных данных, загрузки файлов, сканирования сетевых портов, повышения привилегий и навигации по файловой системе, последняя из которых позволяет субъектам угрозы выполнять такие операции, как редактирование файлов, удаление и модификация временных меток в целях обфускации.
"Недавние атаки, инициированные злоумышленником, говорящим на китайском языке, подчеркивают сохраняющуюся тенденцию использования злоумышленниками полноценной веб-оболочки, разработанной для расширенного контроля над жертвами", - отметили исследователи. "Интересно, что не все целевые клиенты использовали ThinkPHP, что наводит на мысль, что злоумышленники могут без разбора атаковать широкий спектр систем".
