Οι ερευνητές στον τομέα της κυβερνοασφάλειας αποκάλυψαν μια νέα καμπάνια κακόβουλου λογισμικού που στοχεύει δημόσια εκτεθειμένα τελικά σημεία του Docket API με στόχο την παροχή εξόρυξης κρυπτονομισμάτων και άλλων ωφέλιμων φορτίων.
Μεταξύ των εργαλείων που αναπτύσσονται περιλαμβάνεται ένα εργαλείο απομακρυσμένης πρόσβασης που έχει τη δυνατότητα λήψης και εκτέλεσης περισσότερων κακόβουλων προγραμμάτων, καθώς και ένα βοηθητικό πρόγραμμα για τη διάδοση του κακόβουλου λογισμικού μέσω SSH, πλατφόρμα ανάλυσης cloud Datadog είπε σε έκθεση που δημοσιεύθηκε την περασμένη εβδομάδα.
Η ανάλυση της καμπάνιας αποκάλυψε τακτικές επικαλύψεις με μια προηγούμενη δραστηριότητα μεταγλωττισμένη ΝΗΜΑ ΚΛΩΣΗΣτο οποίο παρατηρήθηκε ότι στοχεύει εσφαλμένες υπηρεσίες Apache Hadoop YARN, Docker, Atlassian Confluence και Redis για σκοπούς κρυπτογράφησης.
Η επίθεση ξεκινά με τους παράγοντες απειλής να μηδενίζουν τους διακομιστές Docker με εκτεθειμένες θύρες (αριθμός θύρας 2375) να ξεκινήσει μια σειρά βημάτων, ξεκινώντας από την αναγνώριση και την κλιμάκωση των προνομίων πριν προχωρήσουμε στη φάση της εκμετάλλευσης.
Τα ωφέλιμα φορτία ανακτώνται από υποδομή που ελέγχεται από τον αντίπαλο εκτελώντας ένα σενάριο φλοιού με το όνομα “vurl”. Αυτό περιλαμβάνει ένα άλλο σενάριο φλοιού που ονομάζεται “b.sh” το οποίο, με τη σειρά του, συσκευάζει ένα δυαδικό αρχείο με κωδικοποίηση Base64 που ονομάζεται “vurl” και είναι επίσης υπεύθυνο για την ανάκτηση και την εκκίνηση ενός τρίτου σεναρίου φλοιού γνωστό ως “ar.sh” (ή “ai. SH”).
“Ο [‘b.sh’] Το σενάριο αποκωδικοποιεί και εξάγει αυτό το δυαδικό αρχείο στο /usr/bin/vurl, αντικαθιστώντας την υπάρχουσα έκδοση σεναρίου φλοιού», δήλωσε ο ερευνητής ασφαλείας Matt Muir. [command-and-control] τομείς.”
Το σενάριο του κελύφους, “ar.sh”, εκτελεί έναν αριθμό ενεργειών, συμπεριλαμβανομένης της δημιουργίας ενός καταλόγου εργασίας, της εγκατάστασης εργαλείων για τη σάρωση του Διαδικτύου για ευάλωτους κεντρικούς υπολογιστές, την απενεργοποίηση του τείχους προστασίας και, τελικά, την ανάκτηση του ωφέλιμου φορτίου επόμενου σταδίου, που αναφέρεται ως “chkstart .”
Ένα δυαδικό Golang όπως το vurl, ο κύριος στόχος του είναι να διαμορφώσει τον κεντρικό υπολογιστή για απομακρυσμένη πρόσβαση και να φέρει πρόσθετα εργαλεία, συμπεριλαμβανομένων των “m.tar” και “top,” από έναν απομακρυσμένο διακομιστή, ο τελευταίος από τον οποίο είναι ένας εξορύκτης XMRig.
“Στην αρχική καμπάνια Spinning YARN, μεγάλο μέρος της λειτουργικότητας του chkstart αντιμετωπιζόταν από σενάρια κελύφους”, εξήγησε ο Muir. “Η μεταφορά αυτής της λειτουργικότητας σε κώδικα Go θα μπορούσε να υποδηλώνει ότι ο εισβολέας επιχειρεί να περιπλέξει τη διαδικασία ανάλυσης, καθώς η στατική ανάλυση του μεταγλωττισμένου κώδικα είναι σημαντικά πιο δύσκολη από τα σενάρια φλοιού.”
Η λήψη μαζί με το “chkstart” είναι δύο άλλα ωφέλιμα φορτία που ονομάζονται exeremo, τα οποία χρησιμοποιούνται για να μετακινηθούν πλευρικά σε περισσότερους κεντρικούς υπολογιστές και να εξαπλωθεί η μόλυνση, και το fkoths, ένα δυαδικό ELF που βασίζεται στο Go για να διαγράψει ίχνη της κακόβουλης δραστηριότητας και να αντισταθεί στις προσπάθειες ανάλυσης.
Το “Exeremo” έχει επίσης σχεδιαστεί για να ρίχνει ένα σενάριο κελύφους (“s.sh”) που φροντίζει για την εγκατάσταση διαφόρων εργαλείων σάρωσης όπως pnscan, masscan και ενός προσαρμοσμένου σαρωτή Docker (“sd/httpd”) για την επισήμανση ευαίσθητων συστημάτων.
“Αυτή η ενημέρωση της καμπάνιας Spinning YARN δείχνει την προθυμία να συνεχίσουμε να επιτίθενται σε λάθος διαμορφωμένους κεντρικούς υπολογιστές Docker για αρχική πρόσβαση”, δήλωσε ο Muir. “Ο παράγοντας απειλής πίσω από αυτήν την καμπάνια συνεχίζει να επαναλαμβάνει τα ωφέλιμα φορτία που έχουν αναπτυχθεί μεταφέροντας λειτουργικότητα στο Go, κάτι που θα μπορούσε να υποδηλώνει μια προσπάθεια παρεμπόδισης της διαδικασίας ανάλυσης ή να υποδηλώνει πειραματισμό με κατασκευές πολλαπλών αρχιτεκτονικών.”