Reading Time: 3 minutes
Recente campanha de cryptojacking usa o Shodan para procurar hosts do Docker vulneráveis.

Agentes de ameaça estão a usar o Shodan para encontrar hosts do Docker vulneráveis e usá-los numa campanha de crypojacking.

Os invasores aproveitam imagens Docker auto-propagadas e infetadas com miners e scripts do Monero que usam o Shodan para encontrar outras instalações vulneráveis e comprometê-las

Os especialistas descobriram os ataques depois de configurar uma máquina que simulava um host do Docker e que continha uma API exposta.

“We discovered that the images are first deployed using a script (ubu.sh, detected as PUA.Linux.XMRMiner.AA.component) that checks hosts with publicly exposed APIs. It then uses Docker commands (POST /containers/create) to remotely create the malicious container. This script also starts an SSH daemon inside the container for remote communication.” reads the analysis published by Trend Micro.

“The script then calls a Monero coin-mining binary, darwin (detected as PUA.Linux.XMRMiner.AA), to run in the background. As with all cryptocurrency miners, it uses the resources of the host system to mine cryptocurrency (Monero in this instance) without the owner’s knowledge.”

Os scripts usados ​​pelos hackers nesta campanha procuram identificar hosts vulneráveis ​​via Shodan. Eles examinam hosts com a porta 2375 aberta e implantam mais containers infetados no host.
A análise dos logs e dos dados de tráfego que chegam ao honeypot revelaram que os invasores usaram um container de um repositório público do Docker Hub chamado zoolu2.
No total, o repositório continha nove imagens compostas de shells criados sob medida, scripts Python, ficheiros de configuração, bem como binários Shodan para mineração cryptocurrency.
A boa notícia é que o Docker descobriu o mesmo repositório de forma independente e fez o tackdown.

 

Os mesmos agentes de ameaça também usaram outro repositório do Docker Hub, associado à conta “marumira”, em ataques anteriores. Depois de essa conta ter sido desativada, os agentes de ameaça mudaram-na para o zoolu2.

Enquanto os invasores iniciam um processo de varrimento para que os hosts do Docker se comprometam, um binário de mineração de moedas Monero personalizado é executado em segundo plano.

“An interesting characteristic of the attack is that it uses a cryptocurrency miner that it is being built from scratch instead of an existing one.” continues the report.

 

Toda a vez que um host do Docker exposto é identificado, ele é incluído numa lista (ficheiro iplist.txt). Ele também verifica se o host do Docker já executa um contaneri de mineração, e exclui-o se o host já se encontra infetado.

A lista de IPs é enviada para os servidores C2 para implantar container adicionais em outros hosts expostos com base na lista de IPs.

Ataques como o detectado pela Trend Micro não são uma novidade no cenário de ameaças, uma campanha semelhante também foi identificada por investigadores da Imperva no início de março.

A mesma campanha maliciosa também foi analisada pela equipe do Alibaba Cloud Security que a identificou como Xulu.

 

 

“These threats are often successful, not only due to the exploitation of flaws and vulnerabilities in the container software but also due to misconfiguration, which remains a constant challenge for organizations. In this case, the hosts that have exposed APIs are not just victims of cryptocurrency-mining operations — they also contribute further to the distribution of the infected containers.” concludes Trend Micro.

“Unwanted cryptocurrency-mining activity can lead to additional resource load for the targets. In this example, if the Docker host is running on internal infrastructure, other hosts can also suffer. On the other hand, if the Docker host is using a cloud service provider, the organization can accrue additional charges due to the higher resource usage.”