Atacantes Aproveitam Contêineres Mal Configurados para Instalar Software de Mineração de Criptomoedas – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

Há meses, cibercriminosos têm se aproveitado de contêineres Docker mal configurados para realizar criptojacking. “Commando Cat” não é a única campanha visando o Docker ultimamente, remontando ao início do ano. Segundo a última atualização da Trend Micro, os atacantes desconhecidos ainda estão explorando as configurações incorretas do Docker para obter acesso não autorizado a ambientes contêinerizados, usando imagens do Docker para implantar mineradores de criptomoedas e obter lucro rápido.

A manipulação de contêineres do Docker tem sido útil para organizações por um longo tempo, mas mais recentemente também tem sido útil para cibercriminosos. “O que vemos é cibercriminosos utilizando essas mesmas capacidades do Docker para executar seus próprios contêineres em sua infraestrutura,” explica Al Carchrie, líder de engenharia de soluções da Cado Security, o primeiro a descobrir o Commando Cat (bem como a outra exploração mais recente do Docker) em janeiro. “Existem duas maneiras de fazer isso. Você pode registrar um contêiner em uma biblioteca e, em seguida, chamar esse contêiner da biblioteca que contém seu código malicioso e fazê-lo rodar. Estamos começando a ver as pessoas se afastando disso, porque as bibliotecas estão fazendo um ótimo trabalho de busca por contêineres maliciosos.”

O Commando Cat adota a outra abordagem: usando contêineres benignos como tela em branco para puxar e executar seu código malicioso. Para fazer isso, como em muitos ciberataques modernos, o ator da ameaça primeiro identifica os pontos finais expostos para focar. Neste caso, esses pontos finais são os servidores da API remota do Docker. “Na maioria das vezes, isso vai se resumir a uma configuração errada. Como vemos em muitos incidentes, seja na nuvem, local ou híbrida, é basicamente falta de supervisão,” observa Carchrie.

Com os pontos finais expostos como um meio inicial de acesso, o atacante implanta uma imagem inofensiva do Docker usando a ferramenta de código aberto Commando, em seguida, a utiliza como base para criar um novo contêiner. Em seguida, usando a operação Linux “chroot” e a vinculação de volume – um meio de ligar diretórios em sistemas hospedeiros com contêineres do Docker – eles olham para fora do contêiner e acabam escapando para o sistema operacional hospedeiro.

No final, eles conseguem estabelecer um canal de comando e controle (C2) e fazer upload de seu malware de criptojacking.

Os ataques do Commando Cat foram simplificados um pouco desde o início deste ano, quando suas cargas úteis incluíam scripts projetados para backdoor o sistema-alvo, estabelecer persistência, exfiltrar credenciais na nuvem e muito mais. O que está claro é que, em circunstâncias diferentes, esse mesmo tipo de ataque poderia levar a algo muito além do criptojacking.

Para mitigar esse risco, a Trend Micro recomenda que as organizações usem apenas imagens oficiais ou certificadas do Docker, evitem executar contêineres com privilégios de root, realizem auditorias de segurança regulares e sigam as diretrizes gerais e as melhores práticas em torno de contêineres e APIs.

E acima de tudo, Carchrie enfatiza: “Certifique-se de que a API do seu contêiner Docker não esteja diretamente acessível à Internet.”

Você também pode gostar

Flaws Exploradas no MS Exchange Server para Implementar Keylogger em Ataques Direcionados

Novo Smartphone Samsung Galaxy S21 Ultra 5G Mystic Black 256GB

A Grave Vulnerabilidade de Segurança (CVE-2024-4701, CVSS 9.9) Dá aos Atacantes Remotos uma Maneira de Se Infiltrar na Plataforma de Código Aberto Genie da Netflix, que é um Tesouro de Informações e Conexões com Outros Serviços Internos.