cdigo_abierto

El equipo de LemonDuck implementa tácticas engañosas para evadir la detección y anonimizar las operaciones criptominería.

LemonDuck, una conocida botnet de criptominería , apunta a Docker en sistemas Linux para acuñar dinero digital, informó CloudStrike. El equipo de investigación de amenazas del proveedor reveló en un blog escrito por Manoj Ahuje que la botnet está aprovechando las API de Docker expuestas a Internet para ejecutar contenedores maliciosos en sistemas Linux.

Docker se utiliza para crear, ejecutar y administrar cargas de trabajo en contenedores. Dado que se ejecuta principalmente en la nube, una instancia mal configurada puede exponer una API de Docker a Internet, donde puede ser explotada por un actor de amenazas, que puede ejecutar un criptominero dentro de un contenedor ilegal.

Contenedores Docker un objetivo fácil

Mike Parkin, ingeniero de Vulcan Cyber, un proveedor de SaaS para la remediación de riesgos cibernéticos empresariales, explica que una de las principales formas en que los atacantes comprometen los entornos en contenedores es a través de configuraciones incorrectas, lo que muestra cuántas organizaciones no siguen las mejores prácticas de la industria.

"Hay herramientas disponibles que pueden proteger estos entornos del uso no autorizado y herramientas de monitoreo de la carga de trabajo que pueden señalar actividades inusuales", dijo en una entrevista. "El desafío puede ser la coordinación entre los equipos de desarrollo y los equipos de seguridad, pero existen herramientas de gestión de riesgos que también pueden manejar eso".

Ratan Tipirneni, presidente y director ejecutivo de Tigera, un proveedor de seguridad y observabilidad para contenedores, Kubernetes y la nube, agregó que si bien Docker brinda un alto grado de programabilidad, flexibilidad y automatización, tiene el efecto secundario no deseado de aumentar la superficie de ataque.

"Esto es especialmente cierto a medida que las tecnologías de contenedores son adoptadas más ampliamente por el mercado principal", dijo en una entrevista. "Esto crea un objetivo fácil para que los adversarios comprometan a Docker, ya que desbloquea una gran cantidad de poder de cómputo para la criptominería".

Cómo funciona LemonDuck

Después de ejecutar su contenedor malicioso en una API expuesta, LemonDuck descarga un archivo de imagen llamado core.png disfrazado como un script bash, explicó Ahuje. Core.png actúa como un punto de pivote para configurar un cronjob de Linux, que se puede usar para programar scripts u otros comandos para que se ejecuten automáticamente.

Luego, el cronjob se usa para descargar un archivo disfrazado llamado a.asp, que en realidad es un archivo bash. Si un sistema está utilizando el servicio de monitoreo de Alibaba Cloud, que puede detectar instancias de nube para actividades maliciosas si su agente está instalado en un host o contenedor, a.asp puede deshabilitarlo para evitar que lo detecte un proveedor de nube.

A.asp también descarga y ejecuta XMRig como un archivo xr que extrae la criptomoneda. XMRig es engañoso porque utiliza un grupo de proxy de criptominería. "Los grupos de proxy ayudan a ocultar la dirección real de la billetera criptográfica donde se realizan las contribuciones por la actividad minera actual", escribió Ahuje.

La técnica de ataque de LemonDuck es sigilosa. En lugar de escanear en masa los rangos de IP públicos en busca de una superficie de ataque explotable, intenta moverse lateralmente buscando claves SSH. "Esta es una de las razones por las que esta campaña no fue tan evidente como otras campañas mineras realizadas por otros grupos", señaló Ahuje. Una vez que se encuentran las claves SSH, continúa, el atacante las usa para iniciar sesión en los servidores y ejecutar sus scripts maliciosos.

Los ataques en la nube maduran

Ian Ahl, vicepresidente de investigación de amenazas e ingeniería de detección de Permiso, una compañía de software de seguridad en la nube, observó que "si bien no es poco común, la desactivación de los servicios de monitoreo en la nube como Cloud Defense de Alibaba por parte del malware muestra una comprensión de los entornos en la nube".

"Apuntar a los servicios de Docker es un nicho, aunque no inesperado", dijo en una entrevista. "A medida que los entornos de nube maduran, también lo hacen los ataques contra ellos. LemonDuck también es particularmente territorial. Deshabilita el malware de la competencia si lo encuentra". "Además de la madurez y la comprensión de los entornos en la nube, es un minero de criptomonedas que, por lo demás, no tiene nada de especial", agregó.

Ahuje de CrowdStrike explica que el auge de las criptomonedas, combinado con la adopción de la nube y los contenedores en las empresas, ha sido una opción económicamente atractiva para los atacantes. Dado que los ecosistemas de nube y contenedores usan Linux en gran medida, atrajo la atención de los operadores de botnets como LemonDuck.

"En CrowdStrike", escribió Ahuje, "esperamos que este tipo de campañas por parte de grandes operadores de botnets aumenten a medida que la adopción de la nube continúa creciendo".

 

Fuente: arnnet | somoslibres

¿Quién está en línea?

Hay 4571 invitados y ningún miembro en línea