Οι χάκερ στοχεύουν διακομιστές με εσφαλμένη ρύθμιση παραμέτρων που εκτελούν Apache Hadoop YARN, Docker, Confluence ή Redis με νέο κακόβουλο λογισμικό που βασίζεται στο Golang που αυτοματοποιεί την ανακάλυψη και τον παραβιασμό των κεντρικών υπολογιστών.
Τα κακόβουλα εργαλεία που χρησιμοποιούνται στην καμπάνια εκμεταλλεύονται τις αδυναμίες διαμόρφωσης και εκμεταλλεύονται μια παλιά ευπάθεια στο Atlassian Confluence για να εκτελέσουν κώδικα στο μηχάνημα.
Ερευνητές της εταιρείας εγκληματολογίας cloud και αντιμετώπισης περιστατικών Cado Security ανακάλυψαν την καμπάνια και ανέλυσαν τα ωφέλιμα φορτία που χρησιμοποιούνται σε επιθέσεις, σενάρια bash και δυαδικά αρχεία Golang ELF.
Οι ερευνητές σημειώνουν ότι το σύνολο εισβολής είναι παρόμοιο με προηγουμένως αναφερθείσες επιθέσεις cloud, μερικές από τις οποίες αποδίδονται σε παράγοντες απειλών όπως το TeamTNT, το WatchDog και
Kiss-a-Dog
.
Άρχισαν να ερευνούν την επίθεση αφού έλαβαν μια αρχική ειδοποίηση πρόσβασης σε ένα honeypot API του Docker Engine, με ένα νέο κοντέινερ βασισμένο στο Alpine Linux να δημιουργείται στον διακομιστή.
Για τα επόμενα βήματα, ο παράγοντας απειλής βασίζεται σε πολλαπλά σενάρια κελύφους και κοινές τεχνικές επίθεσης Linux για να εγκαταστήσει έναν εξορύκτη κρυπτονομισμάτων, να δημιουργήσει επιμονή και να δημιουργήσει ένα αντίστροφο κέλυφος.
Νέο κακόβουλο λογισμικό Golang για ανακάλυψη στόχων
Σύμφωνα με τους ερευνητές, οι χάκερ αναπτύσσουν ένα σύνολο τεσσάρων νέων ωφέλιμων φορτίων Golang που είναι υπεύθυνα για τον εντοπισμό και την εκμετάλλευση κεντρικών υπολογιστών που εκτελούν υπηρεσίες για το Hadoop YARN (
h.sh
), Docker (
δ.σ
), συμβολή (
w.sh
), και ο Redis (
c.sh
).
Τα ονόματα των ωφέλιμων φορτίων είναι πιθανώς μια κακή απόπειρα συγκάλυψης τους ως σενάρια bash. Ωστόσο, είναι δυαδικά 64-bit Golang ELF.
«Είναι ενδιαφέρον ότι ο προγραμματιστής κακόβουλου λογισμικού αμέλησε να αφαιρέσει τα δυαδικά αρχεία, αφήνοντας ανέπαφες τις πληροφορίες εντοπισμού σφαλμάτων DWARF. Δεν έχει γίνει καμία προσπάθεια να συγκαλυφθούν οι συμβολοσειρές ή άλλα ευαίσθητα δεδομένα μέσα στα δυαδικά αρχεία, καθιστώντας τα ασήμαντα για την αντίστροφη μηχανική» –
Cado Security
Οι χάκερ χρησιμοποιούν τα εργαλεία Golang για να σαρώσουν ένα τμήμα δικτύου για ανοιχτές θύρες 2375, 8088, 8090 ή 6379, οι οποίες είναι οι προεπιλεγμένες για τους στόχους αυτής της καμπάνιας.
Στην περίπτωση του “w.sh”, αφού ανακαλύψει μια διεύθυνση IP για έναν διακομιστή Confluence, ανακτά ένα exploit για το CVE-2022-26134, μια κρίσιμη ευπάθεια που επιτρέπει στους απομακρυσμένους εισβολείς να εκτελούν κώδικα χωρίς την ανάγκη ελέγχου ταυτότητας.
Ένα άλλο ωφέλιμο φορτίο Golang που ανακαλύφθηκε ονομάζεται “fkoths” και το καθήκον του είναι να αφαιρέσει τα ίχνη της αρχικής πρόσβασης διαγράφοντας εικόνες Docker από τα αποθετήρια Ubuntu ή Alpine.
Η Cado Security διαπίστωσε ότι ο εισβολέας χρησιμοποίησε ένα μεγαλύτερο σενάριο φλοιού που ονομάζεται “ar.sh” για να προωθήσει τον συμβιβασμό τους, να αποτρέψει την εγκληματολογική δραστηριότητα στον κεντρικό υπολογιστή και να πάρει πρόσθετα ωφέλιμα φορτία, συμπεριλαμβανομένης της δημοφιλούς εφαρμογής εξόρυξης XMRig για κρυπτονομίσματα Monero.
Το σενάριο προσθέτει επίσης ένα κλειδί SSH που επιτρέπει στον εισβολέα να διατηρεί πρόσβαση στο μολυσμένο σύστημα, ανακτά το αντίστροφο κέλυφος που βασίζεται στο Golang
Πλατύπους
και αναζητά κλειδιά SSH και σχετικές διευθύνσεις IP.
Ενώ τα περισσότερα από τα ωφέλιμα φορτία της καμπάνιας επισημαίνονται ευρέως ως κακόβουλα από μηχανές προστασίας από ιούς στην πλατφόρμα σάρωσης Virus Total, τα τέσσερα δυαδικά αρχεία Golang για την ανακάλυψη υπηρεσιών στόχων είναι ουσιαστικά μη ανιχνευμένα.
Δύο από τα ωφέλιμα φορτία,
w.sh
και
c.sh
, εντοπίζονται από λιγότερες από 10 μηχανές προστασίας από ιούς στην πλατφόρμα και η παλαιότερη ημερομηνία υποβολής είναι η 11η Δεκεμβρίου 2023, κάτι που μπορεί να υποδηλώνει την έναρξη της καμπάνιας. Τα άλλα δύο δεν ανιχνεύονται στην πλατφόρμα.
Ο χρήστης Cado Security κοινοποίησε α
τεχνική ανάλυση
για όλα τα ωφέλιμα φορτία που ανακαλύφθηκαν στην καμπάνια καθώς και για τους σχετικούς δείκτες συμβιβασμού.
VIA:
bleepingcomputer.com
