Istraživači iz Cado Security-a primijetili su novu kampanju malvera za Linux usmjerenu na pogrešno konfigurisane Apache Hadoop, Confluence, Docker i Redis instance.
Hakeri koji stoje iza ove kampanje koristili su prethodno neotkrivena korisna opterećenja, uključujući četiri Golang binarne datoteke koje se koriste za automatizaciju otkrivanja i infekcije hostova koji pokreću gore navedene usluge.
Kada su napadači dobili početni pristup sistemu, koristili su seriju shell skripti i koristili Linux tehnike napada kako bi ispustili i pokrenuli kriptomajner. Hakeri održavaju uporan pristup kompromitovanim hostovima kroz obrnuti shell.
Korisno opterećenje shell skripte upotrijebljeno u ovim napadima ima sličnosti s onima korištenim u prethodnim cloud napadima, uključujući one pripisane TeamTNT-u, WatchDog-u, operaterima koji stoje iza kampanje Kiss a Dog.
Istraživači Cado Security Labs-a otkrili su ovu kampanju nakon što su detektovali početnu aktivnost pristupa na Docker Engine API-ju. Napadači su poslali naredbu za stvaranje novog kontejnera i kreirali bind mount za root direktorij servera.
Napadači su koristili ovu tehniku da napišu izvršni fajl koji se koristi za uspostavljanje veze sa C2 i za preuzimanje korisnog opterećenja prve faze.
“Ova tehnika je prilično uobičajena u Docker napadima, jer omogućava napadaču da piše datoteke na osnovni host. Obično se ovo iskorištava za ispisivanje posla koji Cron planer treba izvršiti, u suštini izvodeći RCE napad.” stoji u izvještaju Cado Security-a. “U ovoj konkretnoj kampanji, napadač koristi ovu tačnu metodu da ispiše izvršnu datoteku na putu /usr/bin/vurl, zajedno s registrovanjem Cron posla da dekodira neke base64 kodirane shell komande i izvrši ih u hodu provođenjem kroz bash.”
Korisno opterećenje prve faze je shell skripta koja može definisati C&C koji ugošćuje dodatna korisna opterećenja, provjeriti postojanje uslužnog programa, ako ne izađe iz njega instalirati i preimenovati uslužni program i utvrditi da li je trenutni korisnik root i nakon toga dohvati sljedeći korisni teret.
Napadači su takođe primjenili drugu shell skriptu (ar.sh) koja priprema sistem za isporuku XMRig rudara i prilagođenu skriptu koja nastavlja lanac infekcije.
Skripta je takođe primjenila ‘libprocesshider’ i ‘diamorphine’ rootkite korisničkog režima da sakriju zlonamerne procese.
ar.sh takođe ubacuje SSH ključ koji kontroliše napadač, kako bi zadržao pristup kompromitovanom hostu, i dohvaća binarni fajl rudara (fork XMRig-a). Skripta takođe preuzima open-source Golang reverse shell uslužni program, nazvan Platypus. Nadalje, skripta može registrovati sistemske usluge za održavanje postojanosti, otkrivanje SSH ključeva i širenje malvera putem SSH komandi, te implementirati dodatnu binarnu datoteku.
Golang korisni tereti raspoređeni u ovoj kampanji omogućavaju napadačima da identifikuju pogrešno konfigurisane ili ranjive Hadoop, Confluence, Docker i Redis instance okrenute prema Internetu.
“Ovaj opsežan napad pokazuje raznolikost u tehnikama početnog pristupa koje su dostupne programerima malvera u cloudu i Linuxu. Jasno je da napadači ulažu značajno vrijeme u razumijevanje vrsta web-usluga raspoređenih u okruženjima u cloudu, prateći prijavljene ranjivosti u tim uslugama i koriste to znanje kako bi stekli uporište u ciljnim okruženjima“, zaključuje Cado.
Izvor: SecurityAffairs