Los investigadores de ciberseguridad han descubierto una nueva campaña de criptojacking que se dirige a los servidores web de DevOps accesibles públicamente, como los asociados con Docker, Gitea y Hashicorp Cónsul y Nomad a socavar ilícitamente las criptomonedas.
La firma de seguridad en la aglomeración Wiz, que está rastreando la actividad bajo el nombre Jinx-0132dijo que los atacantes están explotando una amplia escala de configuraciones erróneas y vulnerabilidades conocidas para entregar la carga útil del minero.
“En particular, esta campaña marca lo que creemos que es la primera instancia documentada públicamente de las configuraciones erróneas de Nomad que se explotan como un vector de ataque en la naturaleza”, dijeron los investigadores Gili Tikochinski, Danielle Aminov y Merav Bar en un crónica compartido con las parte del hacker.
Lo que establece que estos ataques se destacan aún es que los malos actores descargan las herramientas necesarias directamente de los repositorios de GitHub en ocasión de usar su propia infraestructura para fines de puesta en suceso. El uso de herramientas típico se ve como un intento deliberado de confundir los esfuerzos de atribución.
Se dice que Jinx-0132 ha comprometido instancias nómadas que administran cientos de clientes que, dados la CPU combinada y los bienes de RAM, costarían decenas de miles de dólares por mes. Esto además sirve para resaltar la potencia de cuenta que impulsa la actividad criptojacking.
Vale la pena mencionar que el extralimitación de la API de Docker es un arrojador conocido para tales ataques. La semana pasada, Kaspersky reveló que los actores de amenaza están apuntando a instancias de API de Docker mal configurados para alistarlos en una botnet de minería de criptomonedas.
Las instancias de API de Docker expuestas abren la puerta para que los actores de amenaza ejecute el código malvado al rodar contenedores que montan el sistema de archivos host o inician una imagen de criptomonedas invocando puntos finales típico de Docker como “/Containers/Create” y “/Containers/{ID}/Start”.
Wiz dijo que los actores de amenaza además están aprovechando una vulnerabilidad (por ejemplo, CVE-2020-14144) o una configuración errónea en Gitea, una posibilidad ligera de código rajado para encajar repositorios de GIT, para obtener una posición original en el objetivo.
Específicamente, se ha opuesto que las instancias expuestas públicamente de Gitea son vulnerables a la ejecución de código remoto Si el atacante tiene camino a un beneficiario existente con permiso para crear garfio Git, está ejecutando la traducción 1.4.0 o la página de instalación se dejó desbloqueado (es sostener, install_lock = traidor).
Hashicorp Cónsul, del mismo modo, podría allanar el camino para la ejecución del código injustificado si el sistema no está configurado correctamente y permite a cualquier beneficiario camino remoto al servidor para registrar servicios y puntualizar las verificaciones de sanidad, lo que, a su vez, puede incluir un comando bash que el agente registrado ejecutará.
“En la campaña orquestada por Jinx-0132, abusaron de esta capacidad para juntar controles maliciosos que, en la destreza, simplemente ejecutan el software de minería”, dijo Wiz. “Jinx-0132 agrega múltiples servicios con nombres aparentemente aleatorios cuyo propósito vivo era descargar y ejecutar la carga útil XMRIG”.
Jinx-0132 además se ha observado explotando las configuraciones erróneas en la API del servidor Nomad expuesto conocido para crear múltiples empleos nuevos en hosts comprometidos que son responsables de descargar la carga útil XMRIG Miner de Github y ejecutarla. Los ataques dependen del hecho de que Nomad no es seguro por defecto para crear y ejecutar estos trabajos.
“Esta configuración predeterminada significa efectivamente que el camino sin restricciones a la API del servidor puede equivalir a las capacidades de ejecución de código remoto (RCE) en el servidor en sí y en todos los nodos conectados”, dijo Wiz.
Según los datos de Shodan, hay más de 5.300 servidores cónsul expuestos y más de 400 servidores nómadas expuestos en todo el mundo. La mayoría de las exposiciones se concentran en China, Estados Unidos, Alemania, Singapur, Finlandia, los Países Bajos y el Reino Unido.
El atacante explota el sistema webui rajado expuesto a Internet para ejecutar minero
La divulgación se produce cuando Sysdig reveló detalles de una campaña de malware dirigida a Linux y Windows explotando un sistema mal configurado que aloja WebUI rajado para cargar un script de Python de inteligencia industrial (IA) y finalmente entregar mineros de criptomonedas.
“La exposición a Internet permitió a cualquiera ejecutar comandos en el sistema: un error peligroso, los atacantes son muy conscientes y escaneando activamente”, dijeron los investigadores de seguridad Miguel Hernández y Alessandra Rizzo en un crónica compartido con la publicación.
“Una vez que los atacantes descubrieron el sistema de capacitación expuesto, comenzaron a usar herramientas WebUI Open, un sistema de complementos utilizado para mejorar las capacidades de LLM. Open WebUI permite que se carguen los scripts de Python para que los LLM puedan usarlos para extender su funcionalidad. Una vez cargado como una aparejo de webui abierta, se ejecutaron el código malvado de Python”.
El código de Python, dijo Sysdig, está diseñado para descargar y ejecutar mineros de criptomonedas como T-Rex y XMRIG, crea un servicio Systemd para persistencia y utiliza un webhook de discordia para comando y control (C2). El malware además incorpora bibliotecas como ProcessHider y Argvhider para ocultar el proceso de minería en los sistemas Linux y sirve como una táctica de despreocupación de defensa.
En los sistemas de Windows comprometidos, el ataque continúa en líneas similares, pero además implica la implementación del Kit de Mejora Java (JDK) para ejecutar un archivo JAR (“Application-Ref.jar”) descargado de 185.208.159 (.) 155. El archivo JAR, por su parte, sirve como un cargador basado en Java para ejecutar una carga útil de JAR secundaria.
La cautiverio de ataque culmina con la ejecución de dos archivos “int_d.dat” e “int_j.dat”, este final está equipado para robar credenciales asociadas con extensiones de billetera de discordia y criptomonedas instaladas en Google Chrome.
Sysdig dijo que hay más de 17,000 instancias de WebUI abiertas a las que se puede obtener a través de Internet. Sin confiscación, no está claro cuántos están efectivamente mal configurados o susceptibles a otras debilidades de seguridad.
“Las configuraciones erróneas accidentales donde los sistemas como WebUI Open están expuestos a Internet siguen siendo un problema difícil”, dijeron los investigadores. “El atacante además se dirigió a los sistemas Linux y Windows, con la traducción de Windows que incluye sofisticadas técnicas de infoptealista y despreocupación”.
