Os cibercriminosos não se intimidam mais em relação ao Linux. Agora, os servidores Docker no Linux sofrem invasão com malware de criptomineração. As APIs do Docker em servidores Linux estão sendo alvo de uma campanha de mineração de criptografia Monero em larga escala dos operadores da botnet Lemon Duck.
Gangues de criptomineração são uma ameaça constante para sistemas Docker mal protegidos ou mal configurados, com várias campanhas de exploração em massa relatadas nos últimos anos.
A LemonDuck, em particular, estava se concentrando anteriormente na exploração de servidores Microsoft Exchange vulneráveis e, antes disso, visava máquinas Linux por meio de ataques de força bruta SSH, sistemas Windows vulneráveis a SMBGhost e servidores executando instâncias Redis e Hadoop.
De acordo com um relatório da Crowdstrike, o agente da ameaça por trás da campanha Lemon_Duck está escondendo suas carteiras atrás de pools de proxy.
Servidores Docker no Linux sofrem invasão com malware de criptomineração. Detalhes da campanha
O Lemon_Duck obtém acesso a APIs expostas do Docker e executa um contêiner malicioso para buscar um script Bash disfarçado de imagem PNG.
A carga útil cria um cronjob no contêiner para baixar um arquivo Bash (a.asp) que executa as seguintes ações:
- Elimine processos com base em nomes de pools de mineração conhecidos, grupos de criptomineração concorrentes etc.
- Mate daemons como crond, sshd e syslog.
- Exclua os caminhos de arquivo de indicador de comprometimento (IOC) conhecidos.
- Elimine conexões de rede para C2s conhecidos por pertencerem a grupos de criptomineração concorrentes.
- Desative o serviço de monitoramento do Alibaba Cloud que protege as instâncias de atividades arriscadas.
A desativação de recursos de proteção nos serviços do Alibaba Cloud foi observada anteriormente em malware de criptomineração em novembro de 2021, empregado por atores desconhecidos.
Depois de executar as ações acima, o script Bash baixa e executa o utilitário de mineração de criptografia XMRig junto com um arquivo de configuração que oculta as carteiras do ator atrás de pools de proxy.
Depois que a máquina inicialmente infectada foi configurada para minerar, o Lemon_Duck tenta o movimento lateral aproveitando as chaves SSH encontradas no sistema de arquivos. Se estiverem disponíveis, o invasor os usará para repetir o mesmo processo de infecção.
Mantendo as ameaças do Docker sob controle
Paralelamente a esta campanha, o Cisco Talos relata outra atribuída ao TeamTNT, que também visa instâncias expostas da API do Docker na Amazon Web Services.
Esse grupo de ameaças também está tentando desabilitar os serviços de segurança em nuvem para evitar a detecção e continuar a minerar Monero, Bitcoin e Ether pelo maior tempo possível.
É claro que a necessidade de configurar as implantações de API do Docker com segurança é imperativa, e os administradores podem começar verificando as práticas recomendadas da plataforma e as recomendações de segurança em relação à configuração.
Além disso, defina limitações de consumo de recursos em todos os contêineres, imponha políticas rígidas de autenticação de imagem e aplique os princípios de privilégio mínimo.
Via BleepingComputer