Una nueva y desagradable botnet esta explotando los contenedores Docker

Una nueva botnet compuesta por servidores de Microsoft Exchange comprometidos está extrayendo criptomonedas para sus operadores, según sugieren los informes.

Según los investigadores de la firma de seguridad CrowdStrike, un actor malintencionado desconocido está utilizando la botnet de criptominería LemonDuck para apuntar a los servidores a través de ProxyLogon.

Al buscar las API de Docker expuestas para el acceso inicial, los atacantes pueden ejecutar un contenedor malicioso utilizando un ENTRYPOINT de Docker personalizado para descargar un archivo de imagen «core.png», que disfraza un script Bash.

monero minero

Después de obtener el acceso inicial, los atacantes pueden realizar una serie de acciones: abusar de EternalBlue, BlueKeep o exploits similares para elevar los privilegios, instalar criptomineros y moverse lateralmente a través de redes comprometidas.

También pueden instalar archivos que les permitan evadir la detección de cualquier antivirus o software de escaneo de malware instalado en puntos finales comprometidos.

De todos los diferentes criptomineros, los atacantes utilizan principalmente XMRig para minar Monero, una criptomoneda centrada en la privacidad que sería más difícil de rastrear.

Los investigadores explicaron además que LemonDuck viene con un archivo llamado «a.asp», que tiene la capacidad de desactivar el servicio en la nube aliyun de Alibaba y, por lo tanto, evadir la detección.

Sobre por qué la campaña pasó desapercibida antes, los investigadores notaron que los actores de amenazas no estaban escaneando rangos de direcciones IP públicas en masa en busca de superficies de ataque explotables, sino que se movían de lado a lado a través de LemonDuck, buscando claves SSH en el sistema de archivos. Una vez que encuentran las claves SSH, las usan para conectarse a los servidores y ejecutar todos los scripts maliciosos antes mencionados.

Los criptomineros se han vuelto extremadamente populares en los últimos años, con el aumento del precio de las criptomonedas y la facilidad con la que se pueden vender en el mercado atrayendo la atención de jugadores honestos y deshonestos.

Share This