Открытые конечные точки Docker API через Интернет подвергаются атаке со стороны сложной кампании криптоджекинга под названием Commando Cat.
"Кампания использует безопасный контейнер, созданный с помощью проекта Commando", - сказали исследователи безопасности Cado Нейт Билл и Мэтт Мьюир в новом отчете, опубликованном сегодня. "Злоумышленник выходит из этого контейнера и запускает несколько полезных нагрузок на хосте Docker".
Считается, что кампания была активна с начала 2024 года, что делает ее второй подобной кампанией, обнаруженной за столько месяцев. В середине января компания по облачной безопасности также пролила свет на другой кластер активности, который нацелен на уязвимые хосты Docker для развертывания криптовалютного майнера XMRig, а также программного обеспечения 9Hits Viewer.
Commando Cat использует Docker в качестве начального вектора доступа для доставки набора взаимозависимых полезных нагрузок с сервера, контролируемого участниками, который отвечает за регистрацию сохраняемости, резервное копирование хоста, эксфильтрацию учетных данных поставщика облачных услуг (CSP) и запуск майнера.
Плацдарм, полученный путем взлома уязвимых экземпляров Docker, впоследствии используется для развертывания безопасного контейнера с помощью инструмента Commando с открытым исходным кодом и выполнения вредоносной команды, которая позволяет ему покинуть пределы контейнера с помощью команды chroot.
Он также выполняет серию проверок, чтобы определить, активны ли службы с именами "sys-kernel-debugger", "gsc", "c3pool_miner" и "dockercache" в скомпрометированной системе, и переходит к следующему этапу, только если этот этап пройден.
"Цель проверки sys-kernel-debugger неясна – этот сервис нигде не используется вредоносным ПО и не является частью Linux", - заявили исследователи. "Возможно, что сервис является частью другой кампании, с которой злоумышленник не хочет конкурировать".
Следующий этап влечет за собой удаление дополнительных полезных данных с сервера командования и управления (C2), включая бэкдор сценария оболочки (user.sh), которые способны добавлять SSH-ключ в файл ~ /.ssh / authorized_keys и создавать пользователя-мошенника по имени "games" с паролем, известным злоумышленнику, и включать его в файл /etc / sudoers.
Аналогичным образом поставляются еще три сценария оболочки – tshd.sh, gsc.sh, aws.sh – которые предназначены для удаления Tiny SHell и импровизированной версии netcat, называемой gs-netcat, и удаления учетных данных
Участники угрозы "запускают команду на cmd.cat/chattr контейнер, который извлекает полезную нагрузку из их собственной инфраструктуры C2", - сказал Мьюир The Hacker News, отметив, что это достигается с помощью curl или wget и передачи полученной полезной нагрузки непосредственно в командную оболочку bash.
"Вместо использования / tmp [gsc.sh] также использует / dev / shm вместо этого, который действует как временное хранилище файлов, но вместо этого поддерживается память", - сказали исследователи. "Возможно, что это механизм уклонения, поскольку вредоносное ПО гораздо чаще использует / tmp".
"Кампания использует безопасный контейнер, созданный с помощью проекта Commando", - сказали исследователи безопасности Cado Нейт Билл и Мэтт Мьюир в новом отчете, опубликованном сегодня. "Злоумышленник выходит из этого контейнера и запускает несколько полезных нагрузок на хосте Docker".
Считается, что кампания была активна с начала 2024 года, что делает ее второй подобной кампанией, обнаруженной за столько месяцев. В середине января компания по облачной безопасности также пролила свет на другой кластер активности, который нацелен на уязвимые хосты Docker для развертывания криптовалютного майнера XMRig, а также программного обеспечения 9Hits Viewer.
Commando Cat использует Docker в качестве начального вектора доступа для доставки набора взаимозависимых полезных нагрузок с сервера, контролируемого участниками, который отвечает за регистрацию сохраняемости, резервное копирование хоста, эксфильтрацию учетных данных поставщика облачных услуг (CSP) и запуск майнера.
Плацдарм, полученный путем взлома уязвимых экземпляров Docker, впоследствии используется для развертывания безопасного контейнера с помощью инструмента Commando с открытым исходным кодом и выполнения вредоносной команды, которая позволяет ему покинуть пределы контейнера с помощью команды chroot.
Он также выполняет серию проверок, чтобы определить, активны ли службы с именами "sys-kernel-debugger", "gsc", "c3pool_miner" и "dockercache" в скомпрометированной системе, и переходит к следующему этапу, только если этот этап пройден.
"Цель проверки sys-kernel-debugger неясна – этот сервис нигде не используется вредоносным ПО и не является частью Linux", - заявили исследователи. "Возможно, что сервис является частью другой кампании, с которой злоумышленник не хочет конкурировать".
Следующий этап влечет за собой удаление дополнительных полезных данных с сервера командования и управления (C2), включая бэкдор сценария оболочки (user.sh), которые способны добавлять SSH-ключ в файл ~ /.ssh / authorized_keys и создавать пользователя-мошенника по имени "games" с паролем, известным злоумышленнику, и включать его в файл /etc / sudoers.
Аналогичным образом поставляются еще три сценария оболочки – tshd.sh, gsc.sh, aws.sh – которые предназначены для удаления Tiny SHell и импровизированной версии netcat, называемой gs-netcat, и удаления учетных данных
Участники угрозы "запускают команду на cmd.cat/chattr контейнер, который извлекает полезную нагрузку из их собственной инфраструктуры C2", - сказал Мьюир The Hacker News, отметив, что это достигается с помощью curl или wget и передачи полученной полезной нагрузки непосредственно в командную оболочку bash.
"Вместо использования / tmp [gsc.sh] также использует / dev / shm вместо этого, который действует как временное хранилище файлов, но вместо этого поддерживается память", - сказали исследователи. "Возможно, что это механизм уклонения, поскольку вредоносное ПО гораздо чаще использует / tmp".
