Új cryptojacking támadás a Docker API-t veszi célba, hogy rosszindulatú Swarm botnetet hozzon létre
A Datadog Security Research nemrégiben egy új, a mikroszolgáltatási technológiákat, nevezetesen a Dockert és a Kubernetest célzó rosszindulatú kampányt fedezett fel. A kampány a Dockert használja ki a kezdeti hozzáféréshez, és egy kriptobányászt telepít a fertőzött konténerekre, mielőtt számos rosszindulatú hasznos terhet kérdez le és futtat. Ezek a hasznos terhelések a fertőzött konténerből a Dockert, Kubernetest vagy SSH-t futtató kapcsolódó hosztokra történő oldalirányú mozgásra irányulnak. Az egyik ilyen hasznos terhet a Kubernetes kubelet API azonosítására és kompromittálására használják. A kubelet API lehetőséget biztosít a podok (konténerek logikai csoportjai) programozott kezelésére egy Kubernetes csomóponton belül. Ha egy kiberszereplő kompromittálja ezt az API végpontot, akkor további erőforrások telepítésére és rosszindulatú programok végrehajtására használhatja magukon a konténereken.
A kampány elemzése egy Docker Hub felhasználót is feltárt, amelyet a kiberszereplők nmlmweb3 felhasználónévvel üzemeltettek. Nem ez az első eset, hogy a Docker konténer-nyilvántartását rosszindulatú programok terjesztésére használják, de erről a konkrét felhasználóról és a tárolóiról még nem esett szó a nyilvános jelentésekben. A támadás során telepített hasznos terhek mellett még több olyan eszközt fedeztek fel, amelyet ez a kiberszereplő használt. A kiberszereplő Command and Control (C2) szerverén található nyílt webes könyvtár enumerálása számos további rosszindulatú mintát tárt fel, ami bizonyítja, hogy a Docker Swarmot célozták meg.
A sérülékeny végpontokon a Docker API-t egy Alpine konténer indítására használják, majd egy távoli kiszolgálóról („solscan[.]live”) lekérnek egy inicializáló shell script-et (init.sh), amely viszont ellenőrzi, hogy root felhasználóként fut-e, és olyan eszközök vannak-e telepítve, mint a curl és a wget, mielőtt letöltik az XMRig minert.
Más cryptojacking kampányokhoz hasonlóan a libprocesshider rootkitet használja arra a kiberszereplő, hogy elrejtse a rosszindulatú bányászfolyamatot a felhasználó elől, amikor olyan folyamatszámláló eszközöket futtat, mint a top és a ps. A shell scriptet úgy tervezték, hogy három másik schell scriptet – kube.lateral.sh, spread_docker_local.sh és spread_ssh.sh – is lekérjen ugyanarról a szerverről a Docker, Kubernetes és SSH végpontok közötti oldalirányú mozgáshoz. A spread_docker_local.sh „a masscan és a zgrab segítségével ugyanazokat a LAN-tartományokon […] keresi a támadó a 2375, 2376, 2377, 4244 és 4243-as portokkal rendelkező csomópontokat” – mondták a kutatók. „Ezek a portok vagy a Docker Engine-hez vagy a Docker Swarmhoz kapcsolódnak”.
