Tomcat
Professional
- Messages
- 2,689
- Reaction score
- 916
- Points
- 113
Исследователи кибербезопасности обнаружили новую вредоносную кампанию, нацеленную на общедоступные конечные точки Docker API с целью доставки майнеров криптовалют и другой полезной нагрузки.
Среди развернутых инструментов есть инструмент удаленного доступа, который способен загружать и запускать больше вредоносных программ, а также утилита для распространения вредоносного ПО через SSH, говорится в отчете платформы облачной аналитики Datadog, опубликованном на прошлой неделе.
Анализ кампании выявил тактические совпадения с предыдущей активностью, получившей название Spinning YARN, которая была нацелена на неправильно настроенные сервисы Apache Hadoop YARN, Docker, Atlassian Confluence и Redis для целей криптоджекинга.
Атака начинается с того, что субъекты угрозы нацеливаются на серверы Docker с открытыми портами (номер порта 2375), чтобы инициировать серию шагов, начиная с разведки и повышения привилегий, прежде чем перейти к этапу эксплуатации.
Полезные данные извлекаются из инфраструктуры, контролируемой злоумышленником, путем выполнения сценария оболочки с именем "vurl". Это включает в себя другой сценарий оболочки под названием "b.sh", который, в свою очередь, содержит двоичный файл в кодировке Base64 с именем "vurl", а также отвечает за выборку и запуск третьего сценария оболочки, известного как "ar.sh" (или "ai.sh").
"Скрипт ['b.sh'] декодирует и извлекает этот двоичный файл в / usr / bin / vurl, перезаписывая существующую версию скрипта оболочки", - сказал исследователь безопасности Мэтт Мьюир. "Этот двоичный файл отличается от версии сценария оболочки использованием жестко закодированных доменов [command-and-control]".
Сценарий оболочки, "ar.sh" выполняет ряд действий, включая настройку рабочего каталога, установку инструментов для сканирования Интернета на наличие уязвимых хостов, отключение брандмауэра и, в конечном итоге, получение полезной нагрузки следующего этапа, называемой "chkstart".
Двоичный файл Golang, подобный vurl, его основная цель - настроить хост для удаленного доступа и получить дополнительные инструменты, включая "m.tar" и "top", с удаленного сервера, последним из которых является майнер XMRig.
"В оригинальной кампании Spinning YARN большая часть функциональности chkstart обрабатывалась скриптами оболочки", - объяснил Мьюир. "Перенос этой функциональности на Go code может свидетельствовать о том, что злоумышленник пытается усложнить процесс анализа, поскольку статический анализ скомпилированного кода значительно сложнее, чем сценариев оболочки".
Наряду с "chkstart" загружаются две другие полезные программы под названием exeremo, которая используется для горизонтального перемещения на другие хосты и распространения инфекции, и fkoths, двоичный файл ELF на основе Go для удаления следов вредоносной активности и противодействия попыткам анализа.
"Exeremo" также предназначен для удаления сценария командной строки ("s.sh"), который обеспечивает установку различных инструментов сканирования, таких как pnscan и masscan, для выявления уязвимых систем.
"Это обновление кампании Spinning YARN демонстрирует готовность продолжать атаковать неправильно настроенные хосты Docker для получения начального доступа", - сказал Мьюир. "Исполнитель угрозы, стоящий за этой кампанией, продолжает повторять развернутые полезные нагрузки, перенося функциональность на Go, что может указывать на попытку помешать процессу анализа или указывать на эксперименты со сборками с несколькими архитектурами".
Среди развернутых инструментов есть инструмент удаленного доступа, который способен загружать и запускать больше вредоносных программ, а также утилита для распространения вредоносного ПО через SSH, говорится в отчете платформы облачной аналитики Datadog, опубликованном на прошлой неделе.
Анализ кампании выявил тактические совпадения с предыдущей активностью, получившей название Spinning YARN, которая была нацелена на неправильно настроенные сервисы Apache Hadoop YARN, Docker, Atlassian Confluence и Redis для целей криптоджекинга.
Атака начинается с того, что субъекты угрозы нацеливаются на серверы Docker с открытыми портами (номер порта 2375), чтобы инициировать серию шагов, начиная с разведки и повышения привилегий, прежде чем перейти к этапу эксплуатации.
Полезные данные извлекаются из инфраструктуры, контролируемой злоумышленником, путем выполнения сценария оболочки с именем "vurl". Это включает в себя другой сценарий оболочки под названием "b.sh", который, в свою очередь, содержит двоичный файл в кодировке Base64 с именем "vurl", а также отвечает за выборку и запуск третьего сценария оболочки, известного как "ar.sh" (или "ai.sh").
"Скрипт ['b.sh'] декодирует и извлекает этот двоичный файл в / usr / bin / vurl, перезаписывая существующую версию скрипта оболочки", - сказал исследователь безопасности Мэтт Мьюир. "Этот двоичный файл отличается от версии сценария оболочки использованием жестко закодированных доменов [command-and-control]".
Сценарий оболочки, "ar.sh" выполняет ряд действий, включая настройку рабочего каталога, установку инструментов для сканирования Интернета на наличие уязвимых хостов, отключение брандмауэра и, в конечном итоге, получение полезной нагрузки следующего этапа, называемой "chkstart".
Двоичный файл Golang, подобный vurl, его основная цель - настроить хост для удаленного доступа и получить дополнительные инструменты, включая "m.tar" и "top", с удаленного сервера, последним из которых является майнер XMRig.
"В оригинальной кампании Spinning YARN большая часть функциональности chkstart обрабатывалась скриптами оболочки", - объяснил Мьюир. "Перенос этой функциональности на Go code может свидетельствовать о том, что злоумышленник пытается усложнить процесс анализа, поскольку статический анализ скомпилированного кода значительно сложнее, чем сценариев оболочки".
Наряду с "chkstart" загружаются две другие полезные программы под названием exeremo, которая используется для горизонтального перемещения на другие хосты и распространения инфекции, и fkoths, двоичный файл ELF на основе Go для удаления следов вредоносной активности и противодействия попыткам анализа.
"Exeremo" также предназначен для удаления сценария командной строки ("s.sh"), который обеспечивает установку различных инструментов сканирования, таких как pnscan и masscan, для выявления уязвимых систем.
"Это обновление кампании Spinning YARN демонстрирует готовность продолжать атаковать неправильно настроенные хосты Docker для получения начального доступа", - сказал Мьюир. "Исполнитель угрозы, стоящий за этой кампанией, продолжает повторять развернутые полезные нагрузки, перенося функциональность на Go, что может указывать на попытку помешать процессу анализа или указывать на эксперименты со сборками с несколькими архитектурами".
