В новом отчёте Cado Security Labs заявлено об обнаружении новой кампании вредоносного ПО, нацеленной на неправильно настроенные серверы, на которых размещены веб-сервисы Apache Hadoop YARN, Docker, Confluence и Redis. Эта кампания примечательна использованием новых полезных нагрузок Golang, предназначенных для автоматизации идентификации и эксплуатации уязвимых хостов.
Согласно рекомендациям, опубликованным экспертами по кибербезопасности из Cado Security Labs, эти полезные нагрузки облегчают атаки удалённого выполнения кода (RCE), используя распространённые неправильные настройки и уязвимость Confluence CVE-2022-26134. Получив первоначальный доступ, злоумышленники используют сценарии оболочки и методы атаки Linux, чтобы обеспечить постоянство и запустить майнер криптовалюты. Несмотря на трудности с атрибуцией, сходство в полезной нагрузке сценариев оболочки намекает на потенциальную связь с предыдущими облачными атаками со стороны таких субъектов угроз, как TeamTNT, WatchDog и кампания Kiss a Dog.
Кампания была обнаружена, когда исследователи Cado Security Labs обнаружили группу действий по первоначальному доступу к приманке Docker Engine API. Команда Docker с определённого IP-адреса порождала контейнер, который затем инициировал ряд действий, включая создание исполняемых файлов и регистрацию заданий cron для выполнения вредоносных команд.
Дальнейший анализ выявил сложную цепочку заражения, включающую множество полезных нагрузок и методов для поддержания доступа, сокрытия вредоносных процессов и распространения вредоносного ПО на другие уязвимые хосты. Примечательно, что вредоносное ПО использовало методы антикриминалистики и было нацелено на определённые облачные среды, включая Alibaba Cloud и Tencent.
Одна полезная нагрузка, названная fkoths, была нацелена на удаление образов Docker, чтобы скрыть следы первоначального доступа. Другая полезная нагрузка, s.sh, была направлена на загрузку дополнительных двоичных данных и сохранение их на заражённых хостах. Кроме того, вредоносное ПО использовало отдельные полезные нагрузки, предназначенные для использования уязвимостей в Apache Hadoop YARN, Confluence и Redis. В этих полезных нагрузках использовались такие методы, как сканирование портов, HTTP-запросы и команды оболочки, для использования выявленных уязвимостей и выполнения вредоносного кода.
Полная версия отчета есть по этой ссылке.
Оригинал публикации на сайте CISOCLUB: "Cado Security Labs: вредоносное ПО для Linux нацелено на Docker, Apache Hadoop, Redis и Confluence".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
