Peneliti cybersecurity telah menemukan kampanye cryptojacking baru yang menargetkan server web DevOps yang dapat diakses secara publik seperti yang terkait dengan Docker, Gitea, dan konsul Hashicorp dan Nomad untuk secara ilegal menambang cryptocurrency.
Perusahaan keamanan cloud wiz, yang melacak aktivitas di bawah namanya Jinx-0132mengatakan para penyerang mengeksploitasi berbagai kesalahan konfigurasi dan kerentanan yang diketahui untuk memberikan muatan penambang.
“Khususnya, kampanye ini menandai apa yang kami yakini sebagai contoh yang didokumentasikan secara publik dari salah konfigurasi nomad yang dieksploitasi sebagai vektor serangan di alam liar,” kata para peneliti Gili Tikochinski, Danielle Aminov, dan Merav Bar dalam sebuah laporan yang dibagikan kepada Hacker News.
Yang membuat serangan ini lebih menonjol adalah bahwa aktor buruk mengunduh alat yang diperlukan langsung dari repositori gitub daripada menggunakan infrastruktur mereka sendiri untuk tujuan pementasan. Penggunaan alat-alat di luar rak dipandang sebagai upaya yang disengaja untuk menghubungkan upaya atribusi.
Jinx-0132 dikatakan telah mengkompromikan contoh nomad yang mengelola ratusan klien yang, mengingat sumber daya CPU dan RAM gabungan, akan menelan biaya puluhan ribu dolar per bulan. Ini juga berfungsi untuk menyoroti kekuatan komputasi yang menggerakkan aktivitas cryptojacking.
Perlu disebutkan bahwa penyalahgunaan Docker API adalah launchpad terkenal untuk serangan semacam itu. Baru minggu lalu, Kaspersky mengungkapkan bahwa aktor ancaman menargetkan contoh API Docker yang salah konfigurasi untuk meminta mereka ke botnet penambangan cryptocurrency.
Instance API Docker yang terbuka Buka pintu bagi para aktor ancaman untuk menjalankan kode berbahaya dengan memutar wadah yang memasang sistem file host atau meluncurkan gambar cryptocurrency dengan memanggil titik akhir Docker standar seperti “/wadah/create” dan “/containers/{id}/start.”
Wiz mengatakan para aktor ancaman juga mengambil keuntungan dari kerentanan (misalnya, CVE-2020-14144) atau salah konfigurasi di Gitea, solusi open-source yang ringan untuk menjadi tuan rumah repositori git, untuk mendapatkan pijakan awal dalam target.
Secara khusus, telah ditemukan bahwa contoh -contoh umum Gitea rentan terhadap eksekusi kode jarak jauh jika penyerang memiliki akses ke pengguna yang ada dengan izin untuk membuat kait git, mereka menjalankan versi 1.4.0, atau halaman instalasi dibiarkan tidak dikunci (yaitu, install_lock = false).
Konsul Hashicorp, juga, dapat membuka jalan untuk eksekusi kode sewenang -wenang jika sistem tidak dikonfigurasi dengan benar dan memungkinkan pengguna dengan akses jarak jauh ke server untuk mendaftarkan layanan dan menentukan pemeriksaan kesehatan, yang, pada gilirannya, dapat mencakup perintah bash yang akan dieksekusi oleh agen terdaftar.
“Dalam kampanye yang diatur oleh Jinx-0132, mereka menyalahgunakan kemampuan ini untuk menambahkan cek jahat yang, dalam praktiknya, hanya menjalankan perangkat lunak penambangan,” kata Wiz. “Jinx-0132 menambahkan beberapa layanan dengan nama-nama yang tampaknya acak yang tujuan sebenarnyanya adalah untuk mengunduh dan menjalankan muatan XMRIG.”
JINX-0132 juga telah diamati mengeksploitasi kesalahan konfigurasi dalam API server Nomad yang terpapar publik untuk membuat beberapa pekerjaan baru pada host yang dikompromikan yang bertanggung jawab untuk mengunduh muatan XMRIG Miner dari Github dan melaksanakannya. Serangan bergantung pada fakta bahwa Nomad tidak aman-default untuk membuat dan menjalankan pekerjaan ini.
“Konfigurasi default ini secara efektif berarti bahwa akses tidak terbatas ke API server dapat sama dengan kemampuan eksekusi kode jarak jauh (RCE) di server itu sendiri dan semua node yang terhubung,” kata Wiz.
Menurut data dari Shodan, ada lebih dari 5.300 server konsul yang terpapar dan lebih dari 400 server nomad yang terpapar di seluruh dunia. Mayoritas paparan terkonsentrasi di sekitar Cina, Amerika Serikat, Jerman, Singapura, Finlandia, Belanda, dan Inggris.
Penyerang mengeksploitasi sistem webui terbuka yang terpapar internet untuk menjalankan penambang
Pengungkapan datang ketika Sysdig mengungkapkan rincian kampanye malware yang menargetkan Linux dan Windows dengan mengeksploitasi sistem yang salah konfigurasi yang menampung WebUI terbuka untuk mengunggah skrip python yang dihasilkan buatan (AI) dan akhirnya mengirimkan penambang cryptocurrency.
“Paparan internet memungkinkan siapa pun untuk melaksanakan perintah pada sistem – kesalahan yang sangat disadari oleh penyerang dan secara aktif memindai,” kata peneliti keamanan Miguel Hernandez dan Alessandra Rizzo dalam sebuah laporan yang dibagikan dengan publikasi.
“Begitu para penyerang menemukan sistem pelatihan yang terbuka, mereka mulai menggunakan alat WebUI terbuka, sistem plugin yang digunakan untuk meningkatkan kemampuan LLM. Buka WebUI memungkinkan skrip Python diunggah sehingga LLM dapat menggunakannya untuk memperluas fungsionalitas mereka. Setelah diunggah sebagai alat WebUI yang terbuka, kode ular nakal jahat dieksekusi.”
Kode Python, kata Sysdig, dirancang untuk mengunduh dan mengeksekusi penambang cryptocurrency seperti T-Rex dan XMRIG, membuat layanan SystemD untuk kegigihan, dan menggunakan webhook perselisihan untuk perintah dan kontrol (C2). Malware juga menggabungkan perpustakaan seperti ProcessHider dan Argvhider untuk menyembunyikan proses penambangan pada sistem Linux dan berfungsi sebagai taktik penghindaran pertahanan.
Pada sistem Windows yang dikompromikan, serangan berlangsung di sepanjang garis yang sama, tetapi juga mensyaratkan penyebaran Java Development Kit (JDK) untuk menjalankan file jar (“Application-Ref.jar”) yang diunduh dari 185.208.159[.]155. File JAR, untuk bagiannya, berfungsi sebagai loader berbasis Java untuk menjalankan muatan toples sekunder.
Rantai serangan memuncak dengan eksekusi dua file “int_d.dat” dan “int_j.dat,” yang terakhir dilengkapi untuk mencuri kredensial yang terkait dengan perselisihan dan ekstensi dompet cryptocurrency yang dipasang di Google Chrome.
Sysdig mengatakan ada lebih dari 17.000 instance WebUI terbuka yang dapat diakses melalui internet. Namun, tidak jelas berapa banyak yang benar -benar salah konfigurasi atau rentan terhadap kelemahan keamanan lainnya.
“Kesalahpahaman yang tidak disengaja di mana sistem seperti WebUI terbuka terpapar ke internet tetap menjadi masalah serius,” kata para peneliti. “Penyerang juga menargetkan sistem Linux dan Windows, dengan versi Windows termasuk infostealer canggih dan teknik penghindaran.”
