Aviso sobre amenazas de ciberseguridad:
Share
Campaña de CryptoJacking afecta a Docke
Se ha descubierto una nueva campaña de cryptojacking que explota la API de Docker Engine. La campaña esta dirigida a gran escala a los servidores Docker, Swarm, Kubernetes y Secure Socket Shell (SSH)
¿Cuál es la amenaza?
Los atacantes comienzan escaneando Internet en busca de puntos finales de API de Docker expuestos y no autenticados, utilizando herramientas como Masscan y ZGrab para localizar entornos Docker vulnerables. Después de obtener acceso, implementan un contenedor Alpine y descargan un Script de Shell malicioso desde un servidor remoto. Este script se utiliza para implementar el minero de criptomonedas XMRig, ocultarlo de las herramientas de monitoreo de procesos y propagar el ataque a otros contenedores mediante movimiento lateral.
Una vrz que se vulnera el contenedor Docker, el ataque se expande rápidamente más allá de la brecha inicial. Los atacantes implementan secuencias de comandos adicionales que les permiten moverse lateralmente por toda la red, apuntando a puntos finales de Docker, Kubernetes y SSH. Estas secuencias de comandos escanean las redes locales en busca de puertos Docker abiertos y explotan otros hosts que ejecutan sistemas de orquestación de Kubernetes o Docker Swarm.
¿Por qué es de relevancia?
Un aspecto crucial del ataque incluye su capacidad de transmitirse como un gusano. Los atacantes pueden crear nuevos contenedores en cualquier host con puntos finales de Docker vulnerables utilizando la imagen alojada en Docker Hub, Esta imagen ejecuta otro script que propaga aún mas la infección, integrando los sistemas comprometidos en una red de bots más grande.
Los atacantes también aprovechan las funciones de orquestación de Docker Swarm para las operaciones de comando y control (C2). Puede integrar servidores SSH con estas herramientas para administrar y proteger el acceso remoto a los nodos dentro de sus clústeres. Esta campaña de Malware se centra en explotar los entornos Docker y Kubernetes, y las vulnerabilidades en los puntos finales de la API de Docker sirven como vector de acceso inicial para los ataques.
¿Cuál es el riesgo?
El aspecto mas preocupante de este ataque es la explotación de Docker Swarm para organizar los sistemas comprometidos. Docker Swarm es una herramienta de orquestación nativa que permite que varios motores de Docker funcionen como un sistema virtual unificado. Los atacantes aprovechan esta capacidad para establecer una botnet, lo que les permite controlar de forma centralizada todas las instancias de Docker comprometidas. Esta centralización facilita las operaciones de minería de criptomonedas coordinadas a gran escala, lo que genera ingresos significativos con un mínimo esfuerzo.
Además del Script de ataque obliga a los hosts comprometidos a separarse de cualquier enjambre de Docker legitimo del que puedan formar parte y a unirse al enjambre de los atacantes. Esto amplia aun mas el control del atacante, transformando los hosts comprometidos en una botnet que puede explotarse para cryptojacking u otros fines, como ataques de denegación de servicio distribuido (DDoS).
Sumado al ataque de minería de criptomonedas, los atacantes establecen un acceso a largo plazo a los sistemas comprometidos mediante la implementación de una serie de Scripts, incluidos “ar.sh, TDGINIT-sh y pdflushs.sh.”. Estos Scripts modifican las reglas del firewall, borran los registros y crean una puerta trasera persistente a través de SSH. Al agregar sus claves SSH al archivo de claves autorizadas del usuario root, los atacantes se aseguran de poder mantener el acceso a los hosts comprometidos, incluso después de reiniciar o aplicar parches de seguridad.
Recomendaciones
Las siguientes acciones son recomendaciones para mitigar el riesgo:
- Autenticar todos los puntos finales de API de Docker y asegurarse de que no estén expuestos a internet.
- Implementar reglas de Firewall estrictas para limitar el acceso solo a direcciones IP de confianza.
- Configure los entornos de Docker y Kubernetes para utilizar el control de acceso basado en roles (RBAC), lo que garantiza que solo los usuarios y servicios autorizados tengan acceso a funciones críticas.
- Supervisar los registros Docker y Kubernetes con regularidad para detectar signos de actividad inusual, como la creación inesperada de contenedores o la presencia de Scripts desconocidos.
- Aplica los últimos parches de seguridad a todos los sistemas Docker, Kubernetes y SSH.
- Realice un escaneo constante en búsqueda de vulnerabilidades.
- Utilice la autenticación basada en claves para SSH y deshabilitar los inicios de sesión basados en contraseñas.
- Audite las claves SSH y los usuarios autorizados con regularidad para evitar el acceso no autorizado.
- Utilice soluciones de sistemas de detección de intrusiones (IDS) para detectar y bloquear el trafico sospechoso.
Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo:
- Sitio web: Cobra Networks proveedor de Ciberseguridad en México para las marcas de Barracuda Networks, Censornet, Untangle
- Teléfono: +52(55)5599-0691
- Correo de contacto: ventas@cobranetworks.lat
JR