VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch khai thác tiền điện tử mới nhắm vào API Docker Engine với mục tiêu chiếm đoạt các phiên bản để tham gia vào Docker Swarm độc hại do kẻ tấn công kiểm soát.

Các nhà nghiên cứu Matt Muir và Andy Giron của Datadog cho biết trong một bài phân tích rằng điều này cho phép kẻ tấn công "sử dụng các tính năng phối hợp của Docker Swarm cho mục đích chỉ huy và kiểm soát (C2).

Các cuộc tấn công tận dụng Docker để truy cập ban đầu nhằm triển khai trình khai thác tiền điện tử trên các vùng chứa bị xâm phạm, đồng thời cũng truy xuất và thực thi các tải trọng bổ sung có trách nhiệm thực hiện di chuyển ngang đến các máy chủ liên quan đang chạy Docker, Kubernetes hoặc SSH.


Cụ thể hơn, điều này liên quan đến việc xác định các điểm cuối API Docker chưa được xác thực và bị lộ bằng các công cụ quét Internet, chẳng hạn như masscan và ZGrab.

Trên các điểm cuối dễ bị tấn công, API Docker được sử dụng để tạo một vùng chứa Alpine rồi truy xuất tập lệnh shell khởi tạo (init.sh) từ máy chủ từ xa ("solscan[.]live"), sau đó kiểm tra xem máy chủ này có đang chạy với tư cách là người dùng root hay không và các công cụ như curl và wget đã được cài đặt trước khi tải xuống trình khai thác XMRig hay chưa.

Giống như các chiến dịch đào tiền điện tử khác, nó sử dụng rootkit libprocesshider để ẩn tiến trình khai thác độc hại khỏi người dùng khi chạy các công cụ liệt kê tiến trình như top và ps.

Tập lệnh shell cũng được thiết kế để lấy ba tập lệnh shell khác –   Đăng nhập để xem liên kết, spread_docker_local.sh và spread_ssh.sh – từ cùng một máy chủ để di chuyển ngang đến các điểm cuối Docker, Kubernetes và SSH trên mạng.

Spread_docker_local.sh "sử dụng masscan và zgrab để quét cùng một phạm vi LAN [...] đối với các nút có cổng 2375, 2376, 2377, 4244 và 4243 mở", các nhà nghiên cứu cho biết. "Các cổng này được liên kết với Docker Engine hoặc Docker Swarm".

"Đối với bất kỳ IP nào được phát hiện có cổng mục tiêu mở, phần mềm độc hại sẽ cố gắng tạo ra một vùng chứa mới có tên alpine. Vùng chứa này dựa trên một hình ảnh có tên upspin, được lưu trữ trên Docker Hub bởi người dùng nmlmweb3."

Hình ảnh upspin được thiết kế để thực thi tập lệnh   Đăng nhập để xem liên kết đã đề cập ở trên, do đó cho phép phần mềm độc hại của nhóm lây lan theo cách giống như sâu máy tính sang các máy chủ Docker khác.

Hơn nữa, thẻ hình ảnh Docker được sử dụng để truy xuất hình ảnh từ Docker Hub được chỉ định trong tệp văn bản được lưu trữ trên máy chủ C2, do đó cho phép kẻ tấn công dễ dàng phục hồi sau các cuộc tấn công tiềm ẩn chỉ bằng cách thay đổi nội dung tệp để trỏ đến một hình ảnh container khác.

Tập lệnh shell thứ ba, spread_ssh.sh, có khả năng xâm nhập máy chủ SSH cũng như thêm khóa SSH và người dùng mới có tên ftp cho phép kẻ tấn công kết nối từ xa đến máy chủ và duy trì quyền truy cập liên tục.


Công cụ này cũng tìm kiếm nhiều tệp thông tin xác thực liên quan đến SSH, Amazon Web Services (AWS), Google Cloud và Samba trong các đường dẫn tệp được mã hóa cứng trong môi trường GitHub Codespaces (tức là thư mục "/home/codespace/") và nếu tìm thấy, sẽ tải chúng lên máy chủ C2.

Ở giai đoạn cuối, cả tải trọng di chuyển ngang Kubernetes và SSH đều thực thi một tập lệnh shell khác có tên là setup_mr.sh để truy xuất và khởi chạy trình khai thác tiền điện tử.

Datadog cho biết họ cũng phát hiện ra ba tập lệnh khác được lưu trữ trên máy chủ C2 -

•   Đăng nhập để xem liên kết, một biến thể của   Đăng nhập để xem liên kết sửa đổi các quy tắc iptables và xóa nhật ký và công việc cron để tránh bị phát hiện
•   Đăng nhập để xem liên kết, tải xuống các công cụ quét và thả một container độc hại vào mỗi máy chủ Docker đã xác định
•   Đăng nhập để xem liên kết, cài đặt một cửa hậu cố định bằng cách thêm khóa SSH do tác nhân đe dọa kiểm soát vào tệp /root/.ssh/authorized_keys

  Đăng nhập để xem liên kết cũng đáng chú ý vì khả năng thao túng Docker Swarm bằng cách buộc máy chủ phải rời khỏi bất kỳ Swarm hiện có nào mà nó có thể là một phần và thêm nó vào một Swarm mới do kẻ tấn công kiểm soát.

Các nhà nghiên cứu cho biết: "Điều này cho phép kẻ tấn công mở rộng quyền kiểm soát của chúng đối với nhiều phiên bản Docker theo cách phối hợp, biến các hệ thống bị xâm phạm thành mạng botnet để khai thác thêm".

Hiện vẫn chưa rõ ai là người đứng sau chiến dịch tấn công này, mặc dù các chiến thuật, kỹ thuật và quy trình thể hiện sự trùng lặp với một nhóm đe dọa đã biết có tên là TeamTNT.

Datadog cho biết: "Chiến dịch này chứng minh rằng các dịch vụ như Docker và Kubernetes vẫn mang lại lợi ích cho những kẻ tấn công thực hiện hoạt động khai thác tiền điện tử trên quy mô lớn".

"Chiến dịch này dựa vào các điểm cuối API Docker được đưa ra Internet mà không cần xác thực. Khả năng lây lan nhanh chóng của phần mềm độc hại có nghĩa là ngay cả khi khả năng truy cập ban đầu tương đối thấp, phần thưởng vẫn đủ cao để khiến các nhóm phần mềm độc hại tập trung vào đám mây có động lực tiếp tục thực hiện các cuộc tấn công này."

Sự phát triển này diễn ra khi Elastic Security Labs phát hiện ra một chiến dịch phần mềm độc hại Linux tinh vi nhắm vào các máy chủ Apache dễ bị tấn công để thiết lập sự tồn tại thông qua GSocket và triển khai các họ phần mềm độc hại như Kaiji và RUDEDEVIL (hay còn gọi là Lucifer) tạo điều kiện cho tấn công từ chối dịch vụ phân tán (DDoS) và khai thác tiền điện tử.

Các nhà nghiên cứu Remco Sprooten và Ruben Groenewoud cho biết : "Chiến dịch REF6138 liên quan đến khai thác tiền điện tử, tấn công DDoS và rửa tiền tiềm ẩn thông qua API cờ bạc, làm nổi bật việc kẻ tấn công sử dụng phần mềm độc hại đang phát triển và các kênh liên lạc bí mật".