Una campaña de criptomonedas en curso ha mejorado su arsenal mientras desarrolla sus tácticas de escape defensivas, que permiten a los actores de amenazas esconder intrusiones y volar bajo el radar, reveló una nueva investigación hoy.

Desde su primera detección en 2019, hasta la fecha se han reportado un total de 84 ataques contra sus honeypots, cuatro de los cuales ocurrieron en 2021, según investigadores de DevSecOps y la firma de seguridad en la nube Aqua Security, que han rastreado operaciones de malware en el pasado. tres años. Esto significa que solo en el tercer trimestre de 2021, se registraron 125 ataques en estado salvaje, lo que indica que los ataques no disminuyeron.

Los ataques iniciales involucraron la ejecución de un comando malicioso para ejecutar una imagen básica llamada «alpine: latest», que resultó en la descarga de un script de shell llamado «autom.sh».

«Los oponentes comúnmente usan imágenes vanilla junto con comandos maliciosos para llevar a cabo sus ataques porque la mayoría de las organizaciones confían en las imágenes oficiales y permiten su uso», dijeron los investigadores en un informe compartido con The Hacker News. «A lo largo de los años, el comando malicioso que se agregó a la imagen oficial para realizar el ataque apenas ha cambiado. La principal diferencia es el servidor desde el cual se descargó el script de shell autom.sh».

El script de shell lanza una secuencia de ataque y permite al enemigo crear una nueva cuenta de usuario llamada «akay» y actualizar sus privilegios a root, que ejecuta comandos arbitrarios en la máquina comprometida para explotar la criptomoneda.

Si bien las primeras etapas de la campaña 2019 no incluyeron técnicas especiales para ocultar las actividades mineras, las versiones posteriores muestran las medidas extremas que han tomado los desarrolladores para mantenerlo invisible para su detección y control, siendo la principal la capacidad de deshabilitar los mecanismos de seguridad y obtener un confuso script de shell de minería., que se codificó cinco veces en Base64 para evitar las herramientas de seguridad.

Las campañas de malware para secuestrar computadoras para la minería de criptomonedas han sido controladas por varios actores de amenazas, como Kinsing, quien se ha encontrado que busca en Internet servidores Docker configurados incorrectamente para llegar a hosts desprotegidos e instalar una variedad previamente indocumentada de mineros de monedas.

Además, se ha observado que un equipo de piratería llamado TeamTNT ataca servidores de bases de datos de Redis inseguros, instancias de Alibaba Elastic Computing Service (ECS), API de Docker expuestas y clústeres de Kubernetes vulnerables para ejecutar código malicioso con privilegios de root en hosts de destino. también implementa cargas útiles para criptomonedas y credenciales de ladrones. Además, las cuentas de Docker Hub comprometidas también se utilizaron para alojar imágenes maliciosas, que luego se utilizaron para distribuir criptomonedas.

«Los mineros son una forma para que los ciberdelincuentes conviertan las vulnerabilidades en efectivo digital de bajo riesgo, y el mayor riesgo para su flujo de efectivo son los mineros competidores que descubren los mismos servidores vulnerables», dijo Sean Gallagher, investigador senior de amenazas de Sophos en el análisis de minería de Tor2Mine. . Una campaña que implica el uso de un script de PowerShell para deshabilitar la protección contra malware, ejecutar una carga útil y obtener una credencial de Windows.

En las últimas semanas, las vulnerabilidades en la biblioteca de registros Log4j, así como las vulnerabilidades recién descubiertas en Atlassian Confluence, F5 BIG-IP, VMware vCenter y Oracle WebLogic Servers, se han aprovechado para hacerse cargo de las máquinas de minería de criptomonedas, un esquema conocido como cryptojacking. A principios de este mes, el fabricante de almacenamiento adjunto a la red (NAS) QNAP advirtió sobre el malware de criptomonedas dirigido a su dispositivo, que podría representar aproximadamente el 50% del uso total de la CPU.

«La campaña Autom muestra que los atacantes se están volviendo más sofisticados, mejorando constantemente sus técnicas y su capacidad para evitar la detección con soluciones de seguridad», dijeron los investigadores. Para protegerse contra estas amenazas, se recomienda que controle la actividad sospechosa del contenedor, realice un análisis dinámico de imágenes y escanee de forma rutinaria el entorno en busca de problemas de configuración incorrecta.