Investigadores de ciberseguridad han descubierto una nueva campaña de malware dirigida a los puntos finales de la API Docket que están expuestos al público. El objetivo de esta campaña es entregar mineros de criptomonedas y otros archivos maliciosos.’
Según un informe publicado la semana pasada por la plataforma de análisis en la nube Datadog, se ha identificado una herramienta de acceso remoto que es capaz de descargar y ejecutar programas maliciosos, junto con una utilidad para propagar el malware a través de SSH.’
El análisis de la campaña ha revelado que comparte similitudes tácticas con una actividad anterior llamada Spinning YARN. Esta actividad estaba dirigida a servicios mal configurados de Apache Hadoop YARN, Docker, Atlassian Confluence y Redis con el propósito de la criptominería.’
La campaña comienza centrando su atención en los servidores de Docker con puertos expuestos (número de puerto 2375). Luego realiza una serie de pasos que involucran reconocimiento, escalada de privilegios y finalmente la explotación.’
Los archivos maliciosos se obtienen a través de un script de shell llamado «vurl» de la infraestructura controlada por los adversarios. El script «b.sh» empaca un binario codificado en Base64 llamado «vurl» y lanza un tercer script de shell conocido como «ar.sh» (o «ai.sh»).’
El investigador de seguridad Matt Muir resalta que «El script [‘b.sh’] decodifica y extrae este binario a /usr/bin/vurl, sobrescribiendo la versión existente del script de shell«. Además, el script de shell «ar.sh» realiza varias acciones, como la instalación de herramientas para escanear Internet en busca de hosts vulnerables y la obtención del siguiente archivo malicioso, denominado «chkstart«.’
Un binario Golang llamado vurl tiene como objetivo configurar el host para el acceso remoto y obtener herramientas adicionales desde un servidor remoto, incluido un minero XMRig llamado «top». ‘
La campaña original de Spinning YARN manejaba gran parte de la funcionalidad de «chkstart» mediante scripts de shell. Se observa que la transferencia de esta funcionalidad a código Go puede complicar el proceso de análisis, ya que el análisis estático de código compilado es significativamente más difícil que los scripts de shell.’
Además de «chkstart«, se descargan otros dos archivos maliciosos llamados exeremo, que se utiliza para moverse lateralmente a más hosts y propagar la infección, y fkoths, un binario ELF basado en Go para eliminar rastros de la actividad maliciosa.’
La actualización de la campaña Spinning YARN demuestra una disposición a seguir atacando servidores de Docker mal configurados para el acceso inicial. El actor de amenazas detrás de esta campaña continúa iterando en los archivos maliciosos transfiriendo la funcionalidad a Go, lo cual podría indicar un intento de obstaculizar el proceso de análisis o poner de manifiesto la experimentación con compilaciones multi-arquitectura.’
Vía The Hacker News
