Los investigadores de Trend Micro, Sunil Bharti y Shubham Singh, han vinculado al actor de amenazas Commando Cat a una campaña de ataque de criptojacking que aprovecha instancias de Docker mal configuradas para desplegar mineros de criptomonedas. Commando Cat utiliza el contenedor de imagen docker cmd.cat/chattr para recuperar el payload de su propia infraestructura de comando y control (C&C). Este actor de amenazas fue identificado por primera vez a principios de este año por Cado Security.
Los ataques implican el apuntar a servidores de API remotos de Docker mal configurados para desplegar una imagen de Docker llamada cmd.cat/chattr. Luego, la imagen se utiliza como base para instanciar un contenedor y escapar de sus confines mediante el comando chroot para obtener acceso al sistema operativo principal. Finalmente, se recupera el binario del minero malicioso desde un servidor de C&C («leetdbs.anondns[.]net/z») a través de un script de shell con comandos curl o wget. El binario sospechoso es ZiggyStarTux, un bot IRC de código abierto basado en el malware Kaiten (también conocido como Tsunami).
Los investigadores han declarado que la táctica utilizada en esta campaña de ataque es significativa, ya que permite a los atacantes explotar vulnerabilidades en las configuraciones de Docker mientras evitan ser detectados por software de seguridad.
Este revelación es relevante en el contexto de la revelación de Akamai sobre el aprovechamiento de fallos de seguridad de varios años en aplicaciones ThinkPHP por un presunto actor de amenazas de habla china. Este actor está desplegando una web shell llamada Dama como parte de una campaña en curso desde el 17 de octubre de 2023. Los investigadores de Akamai, Ron Mankivsky y Maxim Zavodchik, explican que el exploit intenta recuperar código adicional ofuscado desde otro servidor ThinkPHP comprometido para obtener un punto de apoyo inicial.
La web shell Dama permite a los actores de amenazas recopilar datos del sistema, cargar archivos, escanear puertos de red, escalar privilegios y navegar por el sistema de archivos para realizar operaciones como edición de archivos, eliminación y modificación de la marca de tiempo con fines de obfuscación. Además, señalan que no todos los clientes objetivo estaban utilizando ThinkPHP, lo que sugiere que los atacantes podrían estar apuntando indiscriminadamente a una amplia gama de sistemas.
Vía The Hacker News
