Злоумышленники переписывают свои инструменты для противодействия анализу.
Исследователи выявили новую кампанию вредоносного ПО, нацеленную на публичные API Docker для доставки криптовалютных майнеров и других вредоносных программ.
В числе используемых инструментов обнаружен инструмент удалённого доступа, способный загружать и исполнять дополнительные вредоносные программы, а также утилита для распространения вредоносного ПО через SSH , сообщают эксперты Datadog в своём Для просмотра ссылки Войдиили Зарегистрируйся
Анализ кампании выявил тактические сходства с предыдущей активностью, известной как Для просмотра ссылки Войдиили Зарегистрируйся которая была выявлена компанией Cado Security и нацелена на некорректно настроенные сервисы Apache Hadoop YARN, Docker, Atlassian Confluence и Redis для криптоджекинга .
Атака начинается с поиска серверов Docker с открытыми портами (номер порта 2375) и включает несколько этапов: разведку, повышение привилегий и эксплуатацию уязвимостей.
Полезные нагрузки загружаются из инфраструктуры, контролируемой злоумышленниками, с помощью скрипта «vurl». Включает другой скрипт «b.sh», который содержит закодированный бинарный файл «vurl» и отвечает за загрузку и запуск третьего скрипта «ar.sh» (или «ai.sh»).
Скрипт «b.sh» декодирует и извлекает бинарный файл в «/usr/bin/vurl», перезаписывая существующую версию скрипта, как пояснил исследователь безопасности Мэтт Мьюр. «Этот бинарный файл отличается от версии скрипта использованием жёстко закодированных доменов управления».
Скрипт «ar.sh» выполняет множество действий, включая создание рабочей директории, установку инструментов для сканирования интернета на наличие уязвимых хостов, отключение брандмауэра и загрузку следующего этапа полезной нагрузки, известной как «chkstart».
Основная цель Golang-бинарного файла «vurl» — настроить хост для удалённого доступа и загрузить дополнительные инструменты, такие как «m.tar» и «top», последний из которых является майнером XMRig .
В оригинальной кампании Spinning YARN большая часть функционала «chkstart» была реализована с помощью скриптов, пояснил Мьюр. Перенос этого функционала на код Go может указывать на попытку усложнить процесс анализа, так как статический анализ скомпилированного кода значительно сложнее, чем анализ скриптов.
Вместе с «chkstart» загружаются две другие полезные нагрузки: «exeremo» для перемещения на другие хосты и распространения инфекции, а также «fkoths» — ELF бинарный файл на Go для сокрытия следов вредоносной активности и противодействия анализу.
«Exeremo» также предназначен для установки различных инструментов сканирования, таких как pnscan, masscan и пользовательский сканер Docker («sd/httpd»), для обнаружения уязвимых систем.
Это обновление кампании Spinning YARN демонстрирует готовность продолжать атаки на некорректно настроенные хосты Docker для первоначального доступа, отметил Мьюр. Злоумышленник продолжает совершенствовать свои полезные нагрузки, переходя на код Go, что может указывать на попытку усложнить процесс анализа или эксперименты с многоархитектурными сборками.
Исследователи выявили новую кампанию вредоносного ПО, нацеленную на публичные API Docker для доставки криптовалютных майнеров и других вредоносных программ.
В числе используемых инструментов обнаружен инструмент удалённого доступа, способный загружать и исполнять дополнительные вредоносные программы, а также утилита для распространения вредоносного ПО через SSH , сообщают эксперты Datadog в своём Для просмотра ссылки Войди
Анализ кампании выявил тактические сходства с предыдущей активностью, известной как Для просмотра ссылки Войди
Атака начинается с поиска серверов Docker с открытыми портами (номер порта 2375) и включает несколько этапов: разведку, повышение привилегий и эксплуатацию уязвимостей.
Полезные нагрузки загружаются из инфраструктуры, контролируемой злоумышленниками, с помощью скрипта «vurl». Включает другой скрипт «b.sh», который содержит закодированный бинарный файл «vurl» и отвечает за загрузку и запуск третьего скрипта «ar.sh» (или «ai.sh»).
Скрипт «b.sh» декодирует и извлекает бинарный файл в «/usr/bin/vurl», перезаписывая существующую версию скрипта, как пояснил исследователь безопасности Мэтт Мьюр. «Этот бинарный файл отличается от версии скрипта использованием жёстко закодированных доменов управления».
Скрипт «ar.sh» выполняет множество действий, включая создание рабочей директории, установку инструментов для сканирования интернета на наличие уязвимых хостов, отключение брандмауэра и загрузку следующего этапа полезной нагрузки, известной как «chkstart».
Основная цель Golang-бинарного файла «vurl» — настроить хост для удалённого доступа и загрузить дополнительные инструменты, такие как «m.tar» и «top», последний из которых является майнером XMRig .
В оригинальной кампании Spinning YARN большая часть функционала «chkstart» была реализована с помощью скриптов, пояснил Мьюр. Перенос этого функционала на код Go может указывать на попытку усложнить процесс анализа, так как статический анализ скомпилированного кода значительно сложнее, чем анализ скриптов.
Вместе с «chkstart» загружаются две другие полезные нагрузки: «exeremo» для перемещения на другие хосты и распространения инфекции, а также «fkoths» — ELF бинарный файл на Go для сокрытия следов вредоносной активности и противодействия анализу.
«Exeremo» также предназначен для установки различных инструментов сканирования, таких как pnscan, masscan и пользовательский сканер Docker («sd/httpd»), для обнаружения уязвимых систем.
Это обновление кампании Spinning YARN демонстрирует готовность продолжать атаки на некорректно настроенные хосты Docker для первоначального доступа, отметил Мьюр. Злоумышленник продолжает совершенствовать свои полезные нагрузки, переходя на код Go, что может указывать на попытку усложнить процесс анализа или эксперименты с многоархитектурными сборками.
- Источник новости
- www.securitylab.ru