Contoh API Docker yang salah konfigurasi telah menjadi target kampanye malware baru yang mengubahnya menjadi botnet penambangan cryptocurrency.
Serangan-serangan itu, yang dirancang untuk menambang mata uang Dero, terkenal karena kemampuannya seperti cacing untuk menyebarkan malware ke instance Docker yang terbuka dan mengikat mereka ke gerombolan bot penambangan yang terus tumbuh.
Kaspersky mengatakan pihaknya mengamati aktor ancaman yang tidak dikenal yang mendapatkan akses awal ke infrastruktur yang berjalan dengan containered dengan mengeksploitasi Docker API yang diterbitkan secara tidak aman, dan kemudian mempersenjatai bahwa akses untuk membuat jaringan cryptojacking terlarang.
“Ini menyebabkan wadah berjalan dikompromikan dan yang baru dibuat tidak hanya untuk membajak sumber daya korban untuk penambangan cryptocurrency tetapi juga untuk meluncurkan serangan eksternal untuk menyebar ke jaringan lain,” kata peneliti keamanan AMGED Wageh.
Rantai serangan direalisasikan melalui dua komponen: malware propagasi “nginx” yang memindai internet untuk API Docker yang terbuka dan penambang cryptocurrency “cloud”. Kedua muatan dikembangkan menggunakan Golang. Penggunaan “nginx” adalah upaya yang disengaja untuk menyamar sebagai server web Nginx yang sah dan terbang di bawah radar.
Malware propagasi dirancang untuk merekam aktivitas malware yang sedang berjalan, meluncurkan penambang, dan masuk ke loop tak terbatas untuk menghasilkan subnet jaringan IPv4 acak untuk menandai instance Docker yang lebih rentan yang memiliki port API default 2375 terbuka dan kompromi.
Kemudian mulai memeriksa apakah daemon dockerd jarak jauh pada host dengan IPv4 yang cocok berjalan dan responsif. Jika gagal menjalankan perintah “Docker -H PS”, “nginx” hanya pindah ke alamat IP berikutnya dari daftar.
“Setelah mengkonfirmasi bahwa daemon dockerd jarak jauh berjalan dan responsif, Nginx menghasilkan nama kontainer dengan 12 karakter acak dan menggunakannya untuk membuat wadah berbahaya pada target jarak jauh,” jelas Wageh. “Lalu Nginx menyiapkan wadah baru untuk menginstal dependensi nanti dengan memperbarui paket melalui 'Docker -H exec apt -get -yq update.'”
Alat propagasi kemudian menginstal masscan dan docker.io dalam wadah sehingga memungkinkan malware berinteraksi dengan daemon Docker dan melakukan pemindaian eksternal untuk menginfeksi jaringan lain, secara efektif menyebarkan malware lebih jauh. Pada tahap terakhir, dua muatan “nginx” dan “cloud” ditransfer ke wadah menggunakan perintah “Docker -H CP -L/USR/BIN/:/USR/BIN.”
Sebagai cara mengatur kegigihan, biner “nginx” yang ditransfer ditambahkan ke file “/root/.bash_aliases” untuk memastikan bahwa secara otomatis diluncurkan pada login shell. Aspek penting lainnya dari malware adalah bahwa ia juga direkayasa untuk menginfeksi wadah berjalan yang berbasis di Ubuntu pada host yang rentan.
Tujuan utama dari kampanye ini adalah untuk melaksanakan Dero Cryptocurrency Miner, yang didasarkan pada penambang Derohe Cli Source Open-Source yang tersedia di GitHub.
Kaspersky telah menilai bahwa kegiatan yang tumpang tindih dengan kampanye penambangan Dero yang sebelumnya didokumentasikan oleh CrowdStrike pada Maret 2023 yang menargetkan kluster Kubernetes berdasarkan alamat dompet dan alamat node yang digali digunakan. Iterasi berikutnya dari kampanye yang sama ditandai oleh Wiz pada Juni 2024.
“Lingkungan yang dimasukkan dikompromikan melalui kombinasi penambang yang sebelumnya dikenal dan sampel baru yang menciptakan wadah berbahaya dan yang terinfeksi yang sudah ada,” kata Wageh. “Dua implan jahat menyebar tanpa server C2, membuat jaringan apa pun yang memiliki infrastruktur yang dimasukkan dan Docker API yang diterbitkan secara tidak aman ke Internet sebagai target potensial.”
Perkembangan ini datang ketika Ahnlab Security Intelligence Center (ASEC) merinci kampanye yang melibatkan penyebaran penambang koin Monero bersama dengan pintu belakang yang tidak pernah dilihat sebelumnya yang menggunakan protokol komunikasi pybitmessage peer-to-peer (P2P) untuk memproses instruksi yang masuk dan mengeksekusi mereka sebagai skrip PowerShell.
Metode distribusi yang tepat yang digunakan dalam kampanye saat ini tidak diketahui, tetapi diduga disamarkan sebagai versi retak dari perangkat lunak populer, menjadikannya penting bahwa pengguna menghindari mengunduh file dari sumber yang tidak diketahui atau tidak dipercaya dan tetap berpegang pada saluran distribusi yang sah.
“Protokol Bitmessage adalah sistem pesan yang dirancang dengan anonimitas dan desentralisasi dalam pikiran, dan fitur pencegahan intersepsi oleh perantara dan anonimisasi pengirim dan penerima pesan,” kata ASEC.
“Aktor ancaman mengeksploitasi modul pybitmessage, yang mengimplementasikan protokol ini di lingkungan Python, untuk bertukar paket terenkripsi dalam format yang mirip dengan lalu lintas web biasa. Khususnya, perintah C2 dan pesan kontrol disembunyikan di dalam pesan dari pengguna nyata di jaringan bitmessage.”
