Um atacante conhecido como Commando Cat foi vinculado a uma campanha de ataque de cryptojacking em andamento que utiliza instâncias Docker mal protegidas para implantar mineradores de criptomoedas com o objetivo de obter ganhos financeiros. Os pesquisadores da Trend Micro, Sunil Bharti e Shubham Singh, afirmaram em uma análise na quinta-feira que os atacantes usaram o contêiner cmd.cat/chattr Docker para recuperar o payload de sua própria infraestrutura de comando e controle (C&C). O Commando Cat, nomeado assim pelo uso do projeto Commando de código aberto para gerar um contêiner benigno, foi primeiramente documentado este ano pela Cado Security. Os ataques são caracterizados pelo direcionamento de servidores de API remota do Docker mal configurados para implantar uma imagem Docker chamada cmd.cat/chattr, que é usada como base para instanciar um contêiner e escapar de suas restrições usando o comando chroot, e obter acesso ao sistema operacional host. O passo final envolve recuperar o binário do minerador malicioso usando um comando curl ou wget de um servidor C&C (“leetdbs.anondns[.]net/z”) por meio de um script shell. O binário é suspeito de ser ZiggyStarTux, um bot IRC de código aberto baseado no malware Kaiten (também conhecido como Tsunami). Os pesquisadores afirmaram que “a importância desta campanha de ataque reside no uso de imagens Docker para implantar scripts de cryptojacking em sistemas comprometidos”. Essa tática permite aos atacantes explorar vulnerabilidades nas configurações do Docker enquanto evitam a detecção por software de segurança. A divulgação surge quando a Akamai revelou que falhas de segurança antigas em aplicações ThinkPHP (por exemplo, CVE-2018-20062 e CVE-2019-9082) estão sendo exploradas por um ator de ameaças suspeito de falar chinês para fornecer um shell web chamado Dama como parte de uma campanha em curso desde 17 de outubro de 2023. O shell web possui várias capacidades avançadas para coletar dados do sistema, fazer upload de arquivos, escanear portas de rede, escalar privilégios e navegar no sistema de arquivos, o que permite aos atacantes realizar operações como edição de arquivos, exclusão e modificação de timestamp para fins de obfuscação. Os pesquisadores observaram que “os ataques recentes originados por um adversário de língua chinesa destacam uma tendência contínua de atacantes usando um shell web totalmente desenvolvido, projetado para controle avançado da vítima”. Interessantemente, nem todos os clientes alvo estavam utilizando o ThinkPHP, o que sugere que os atacantes podem estar visando indiscriminadamente uma ampla gama de sistemas.