Los ciberdelincuentes están aprovechando la vulnerabilidad N-day y las configuraciones incorrectas de servicios, como Apache Hadoop YARN, Docker, Atlassian Confluence y Redis, para lanzar una campaña de malware que implanta un minero de criptomonedas y accede de forma remota a los servidores. La empresa de seguridad en la nube Cado Security ha denominado esta actividad como Spinning Yarn, y la ha relacionado con ataques en la nube llevados a cabo por TeamTNT, WatchDog y un grupo conocido como Kiss-a-dog.
Los atacantes instalan paquetes Golang para identificar y explotar hosts susceptibles, usando masscan o pnscan como herramientas para la propagación. Una vez obtenido el acceso inicial, los ciberatacantes instalan herramientas que permiten ocultar los procesos maliciosos y lanzar un minero de criptomonedas.
Cado Security informó de que los ciberdelincuentes dedican un tiempo considerable para entender y aprovechar los servicios en la nube vulnerables, manteniéndose informados acerca de las vulnerabilidades de estos servicios para acceder a entornos objetivo. Estos ataques se producen después de que Uptycs divulgara los ataques de la banda 8220 Gang. Esta banda ha estado explotando fallas conocidas en Apache Log4j (CVE-2021-44228) y Atlassian Confluence Server y Data Center (CVE-2022-26134) desde mayo de 2023 hasta febrero de 2024 en una serie de incursiones a la infraestructura de la nube.
Cado Security señaló en su Informe de hallazgos de amenazas en la nube H2 2023 que los sistemas en la nube que requieren conocimientos especializados son objetivo de actores de amenazas y que el criptojacking no es el único motivo. La campaña de malware sigue al abuso por parte de los atacantes de servicios destinados a la inteligencia artificial para el alojamiento de malware y mineros de criptomonedas. Con la aparición de nuevas variantes de ransomware, como Abyss Locker, se observa una creciente tendencia del ransomware en sistemas Linux y ESXi en la nube y otros sistemas.
Vía The Hacker News