Hackerii vizează serverele configurate incorect care rulează Apache Hadoop YARN, Docker, Confluence sau Redis cu un nou malware bazat pe Golang care automatizează descoperirea și compromiterea acestora.
Instrumentele malefice folosite în campanie profită de slăbiciunile de configurare și exploatează o vulnerabilitate veche în Atlassian Confluence pentru a executa cod pe mașină.
Cercetătorii de la compania de răspuns la incidente și forensic cloud, Cado Security, au descoperit campania și au analizat încărcările utilizate în atacuri, scripturile bash și binarele Golang ELF.
Cercetătorii remarcă faptul că setul de intruziune este similar cu atacurile cloud raportate anterior, unele dintre ele atribuite actorilor de amenințare precum TeamTNT, WatchDog și Kiss-a-Dog.
Au început investigarea atacului după ce au primit o alertă de acces inițial pe un honeypot API Docker Engine, cu un container nou bazat pe Alpine Linux creat pe server.
Pentru pașii următori, actorul amenințării se bazează pe mai multe scripturi shell și tehnici comune de atac Linux pentru a instala un miner de criptomonede, a stabili persistența și a configura un shell invers.
Potrivit cercetătorilor, hackerii folosesc un set de patru noi încărcături Golang care sunt responsabile pentru identificarea și exploatarea gazdelor care rulează servicii pentru Hadoop YARN (h.sh), Docker (d.sh), Confluence (w.sh) și Redis (c.sh).
Numele încărcăturilor sunt probabil o încercare slabă de a le disimula ca scripturi bash. Cu toate acestea, acestea sunt binare Golang ELF pe 64 de biți.
“În mod interesant, dezvoltatorul malware-ului a neglijat să elimine informațiile de depanare DWARF din binare, lăsându-le intacte. Nu s-a făcut niciun efort de a obfusca șirurile sau alte date sensibile din binare, făcându-le ușor de reverse-engineerat” – Cado Security
Hackerii folosesc instrumentele Golang pentru a scana un segment de rețea pentru porturile deschise 2375, 8088, 8090 sau 6379, care sunt cele implicite pentru țintele acestei campanii.
În cazul lui „w.sh”, după descoperirea unei adrese IP pentru un server Confluence, acesta obține o exploitare pentru CVE-2022-26134, o vulnerabilitate critică care permite atacatorilor remote să execute cod fără a fi nevoie de autentificare.
O altă încărcătură Golang descoperită se numește „fkoths” și are sarcina de a șterge urmele accesului inițial prin ștergerea imaginilor Docker din depozitele Ubuntu sau Alpine.
Cado Security a descoperit că atacatorul a folosit un script shell mai mare numit „ar.sh” pentru a-și extinde compromiterea, a preveni activitățile de forensic pe gazdă și a obține încărcături suplimentare, inclusiv aplicația populară de minerit XMRig pentru criptomoneda Monero.
Scriptul adaugă, de asemenea, o cheie SSH care permite atacatorului să mențină accesul la sistemul infectat, recuperează shellul invers bazat pe Golang Platypus și caută chei SSH și adrese IP relevante.
În timp ce majoritatea încărcăturilor din campanie sunt semnalate ca fiind malitioase de motoarele antivirus pe platforma de scanare Virus Total, cele patru binare Golang pentru descoperirea serviciilor țintă sunt practic nedetectate.
Două dintre încărcături, w.sh și c.sh, sunt detectate de mai puțin de 10 motoare antivirus pe platformă și data de trimitere cea mai timpurie este 11 decembrie 2023, ceea ce poate indica începutul campaniei. Celelalte două nu sunt detectate pe platformă.
Cado Security a împărtășit o analiză tehnică pentru toate încărcăturile descoperite în campanie, precum și indicatorii de compromis asociati.
Noul malware Migo dezactivează funcțiile de protecție pe serverele Redis
Gazdele Docker sunt hackuite într-un plan continuu de furt de trafic web
Defectele Vasele Scăpătoare permit hackerilor să scape din containerele Docker, runc
Hackerii încep să exploateze o vulnerabilitate critică de RCE în Atlassian Confluence
Atlassian avertizează asupra unei vulnerabilități critice de RCE în versiunile mai vechi ale Confluence
Leave a Reply