Peneliti keamanan siber telah menemukan kampanye cryptojacking baru yang menargetkan Docker Engine API dengan tujuan mengkooptasi instance untuk bergabung dengan Docker Swarm jahat yang dikendalikan oleh pelaku ancaman.
Hal ini memungkinkan penyerang untuk “menggunakan fitur orkestrasi Docker Swarm untuk tujuan perintah dan kontrol (C2),” kata peneliti Datadog Matt Muir dan Andy Giron dalam sebuah analisis.
Serangan tersebut memanfaatkan Docker sebagai akses awal untuk menyebarkan penambang mata uang kripto pada container yang disusupi, sekaligus mengambil dan mengeksekusi payload tambahan yang bertanggung jawab untuk melakukan pergerakan lateral ke host terkait yang menjalankan Docker, Kubernetes, atau SSH.
Secara khusus, hal ini melibatkan identifikasi titik akhir Docker API yang tidak diautentikasi dan terekspos menggunakan alat pemindaian Internet, seperti Masscan dan ZGrab.
Pada titik akhir yang rentan, Docker API digunakan untuk menelurkan kontainer Alpine dan kemudian mengambil skrip shell inisialisasi (init.sh) dari server jarak jauh (“solscan[.]live”) yang, pada gilirannya, memeriksa apakah itu berjalan sebagai pengguna root dan alat seperti curl dan wget diinstal sebelum mengunduh XMRig miner.
Seperti kampanye cryptojacking lainnya, kampanye ini menggunakan rootkit libprocesshider untuk menyembunyikan proses penambang berbahaya dari pengguna saat menjalankan alat penghitungan proses seperti top dan ps.
Skrip shell juga dirancang untuk mengambil tiga skrip shell lainnya – kube.lateral.sh, spread_docker_local.sh, dan spread_ssh.sh – dari server yang sama untuk pergerakan lateral ke titik akhir Docker, Kubernetes, dan SSH di jaringan.
Spread_docker_local.sh “menggunakan masscan dan zgrab untuk memindai rentang LAN yang sama […] untuk node dengan port 2375, 2376, 2377, 4244, dan 4243 terbuka,” kata para peneliti. “Port ini terkait dengan Docker Engine atau Docker Swarm.”
“Untuk setiap IP yang ditemukan dengan port target terbuka, malware mencoba membuat wadah baru dengan nama alpine. Wadah ini didasarkan pada gambar bernama upspin, yang dihosting di Docker Hub oleh pengguna nmlmweb3.”
Gambar upspin dirancang untuk mengeksekusi skrip init.sh yang disebutkan di atas, sehingga memungkinkan malware grup untuk menyebar seperti worm ke host Docker lainnya.
Terlebih lagi, tag gambar Docker yang digunakan untuk mengambil gambar dari Docker Hub ditentukan dalam file teks yang dihosting di server C2, sehingga memungkinkan pelaku ancaman dengan mudah pulih dari potensi penghapusan hanya dengan mengubah konten file agar mengarah ke yang berbeda. gambar kontainer.
Skrip shell ketiga, spread_ssh.sh, mampu menyusupi server SSH, serta menambahkan kunci SSH dan pengguna baru bernama ftp yang memungkinkan pelaku ancaman terhubung dari jarak jauh ke host dan mempertahankan akses persisten.
Itu juga mencari berbagai file kredensial yang terkait dengan SSH, Amazon Web Services (AWS), Google Cloud, dan Samba di jalur file hard-code dalam lingkungan GitHub Codespaces (yaitu, direktori “/home/codespace/”), dan jika ditemukan, unggah ke server C2.
Pada tahap akhir, muatan pergerakan lateral Kubernetes dan SSH mengeksekusi skrip shell lain yang disebut setup_mr.sh yang mengambil dan meluncurkan penambang mata uang kripto.
Datadog mengatakan pihaknya juga menemukan tiga skrip lain yang dihosting di server C2 –
- ar.sh, varian init.sh yang mengubah aturan iptables dan menghapus log dan pekerjaan cron untuk menghindari deteksi
- TDGINIT.sh, yang mengunduh alat pemindaian dan menjatuhkan wadah berbahaya ke setiap host Docker yang teridentifikasi
- pdflushs.sh, yang memasang pintu belakang persisten dengan menambahkan kunci SSH yang dikendalikan aktor ancaman ke file /root/.ssh/authorized_keys
TDGINIT.sh juga terkenal karena manipulasi Docker Swarm dengan memaksa host untuk meninggalkan Swarm yang ada dan menambahkannya ke Swarm baru di bawah kendali penyerang.
“Hal ini memungkinkan pelaku ancaman untuk memperluas kendali mereka atas beberapa instance Docker secara terkoordinasi, secara efektif mengubah sistem yang disusupi menjadi botnet untuk eksploitasi lebih lanjut,” kata para peneliti.
Saat ini tidak jelas siapa yang berada di balik kampanye serangan tersebut, meskipun taktik, teknik, dan prosedur yang ditunjukkan tumpang tindih dengan yang dilakukan oleh kelompok ancaman yang dikenal sebagai TeamTNT.
“Kampanye ini menunjukkan bahwa layanan seperti Docker dan Kubernetes tetap bermanfaat bagi pelaku ancaman yang melakukan cryptojacking dalam skala besar,” kata Datadog.
“Kampanye ini mengandalkan titik akhir Docker API yang terekspos ke Internet tanpa autentikasi. Kemampuan malware untuk menyebar dengan cepat berarti bahwa meskipun peluang akses awal relatif kecil, imbalannya cukup tinggi untuk membuat kelompok malware yang berfokus pada cloud tetap termotivasi untuk melakukannya. terus melakukan serangan ini.”
Perkembangan ini terjadi ketika Elastic Security Labs menyoroti kampanye malware Linux canggih yang menargetkan server Apache yang rentan untuk membangun persistensi melalui GSocket dan menyebarkan keluarga malware seperti Kaiji dan RUDEDEVIL (alias Lucifer) yang memfasilitasi penolakan layanan terdistribusi (DDoS) dan mata uang kripto. pertambangan, masing-masing.
“Kampanye REF6138 melibatkan penambangan kripto, serangan DDoS, dan potensi pencucian uang melalui API perjudian, menyoroti penggunaan malware yang terus berkembang dan saluran komunikasi tersembunyi oleh penyerang,” kata peneliti Remco Sprooten dan Ruben Groenewoud.