Se ha descubierto a piratas informáticos utilizando la API de Docker Engine para apuntar a diferentes contenedores utilizando criptojackers y otros. malware.
Los investigadores de ciberseguridad de Datadog, que recientemente observaron e informaron sobre una de esas campañas en un análisis en profundidad, señalaron que los delincuentes primero buscaron API de Docker Engine que estuvieran expuestas a Internet y no estuvieran protegidas con contraseña, utilizando varias herramientas de escaneo de Internet.
A continuación, utilizaron la API de Docker para crear un contenedor Alpine y montar el sistema de archivos host subyacente dentro del contenedor. El siguiente paso es ejecutar un comando de shell para extraer el script de inicialización que inicia efectivamente la cadena de infección.
No hay evidencia de abuso
La API de Docker Engine es una interfaz proporcionada por Docker que permite a los desarrolladores y sistemas interactuar con el demonio de Docker mediante programación. A través de una API, los usuarios pueden administrar y controlar contenedores, redes e imágenes de Docker, todo a través de solicitudes HTTP.
La cadena comienza con herramientas de transferencia de datos, que a su vez implementan XMRig. Se trata de un criptojacker popular, una herramienta que utiliza la potencia informática del dispositivo comprometido para generar tokens de criptomonedas y enviarlos a la dirección de billetera del atacante.
A continuación, los atacantes implementan algunos scripts para ocultar la existencia de XMRig, tras lo cual buscan cargas útiles adicionales que les permitan moverse horizontalmente. Se seleccionan otros servidores Docker Swarm, Kubernetes y SSH y, finalmente, se combinan en un Docker Cluster controlado por el actor.
La combinación permite a los estafadores utilizar las funciones de orquestación de Docker Swarm para tareas de comando y control.
Al momento de escribir este artículo, los investigadores aún no han identificado al grupo detrás de esta campaña. Sugirieron que las tácticas, técnicas y procedimientos (TTP) para esta campaña se superponen con los que normalmente utiliza TeamTNT.
“Esta campaña demuestra que servicios como Docker y Kubernetes siguen siendo útiles para los actores de amenazas que realizan criptominería a escala”, dijo Datadog, antes de agregar que mientras estas API permanezcan en línea sin la protección adecuada, se considerarán “fruta madura”. Estafadores.
a través de Noticias de piratas informáticos