Se ha detectado a piratas informáticos utilizando la API de Docker Engine para atacar varios contenedores con cryptojackers y otros malware.
Los investigadores de ciberseguridad de Datadog, que recientemente observaron una de esas campañas e informaron sobre ella en un análisis en profundidad, señalaron que los delincuentes primero buscaron API de Docker Engine expuestas a Internet que no estuvieran protegidas con contraseña, utilizando diferentes herramientas de escaneo de Internet.
Luego, utilizaron la API de Docker para generar un contenedor Alpine y montar el sistema de archivos del host subyacente dentro del contenedor. El siguiente paso es ejecutar un comando de shell para generar un script de inicialización que inicie efectivamente la cadena de infección.
No hay evidencia de abuso
La API de Docker Engine es una interfaz proporcionada por Docker que permite a los desarrolladores y sistemas interactuar con el demonio de Docker mediante programación. A través de la API, los usuarios pueden administrar y controlar contenedores, redes e imágenes de Docker, todo a través de solicitudes HTTP.
La cadena comienza con herramientas de transferencia de datos que, a su vez, implementan XMRig. Se trata de un criptojacker popular, una herramienta que utiliza la potencia informática del dispositivo comprometido para generar tokens de criptomonedas y enviarlos a la dirección de billetera del atacante.
Después de eso, los atacantes implementan algunos scripts para ocultar la presencia de XMRig, después de lo cual buscan cargas útiles adicionales que les permitan moverse lateralmente. Otros servidores Docker Swarm, Kubernetes y SSH son atacados y, en última instancia, asimilados en un Docker Cluster controlado por actores.
El clúster permite a los delincuentes utilizar las funciones de orquestación de Docker Swarm para tareas de comando y control.
Al cierre de esta edición, los investigadores aún no han identificado al grupo detrás de esta campaña. Las tácticas, técnicas y procedimientos (TTP) de esta campaña se superponen con las que suele utilizar TeamTNT, sugirieron.
“Esta campaña demuestra que servicios como Docker y Kubernetes siguen siendo fructíferos para los actores de amenazas que realizan criptojacking a escala”, dijo Datadog, antes de agregar que mientras estas API permanezcan en línea sin la protección adecuada, se considerarán “fruta madura” para ladrones.
A través de Las noticias de los piratas informáticos
