Um complexo ataque às APIs de Dockers com o objetivo de implantar mineração de criptomoedas foi descoberto e detalhado pela empresa britânica Cado, especializada em segurança e forensics. O relatório publicado pela empresa na última quinta-feira, dia 2 de Junho de 2022, mostra que nos ataques foram utilizados muitas táticas, técnicas e procedimentos do TeamTNT, mas a operação está sendo feita pelo grupo rival WatchDog, afirmaram os pesquisadores da Cado no relatório.
Veja isso
Kubernetes comprometidos em quase 50.000 IPs
Malware rouba credenciais AWS, ataca Docker e Kubernetes
O ataque tem como alvo endpoints expostos com a API do Docker Engine e também servidores Redis, podendo se propagar de modo semelhante a um worm. Várias técnicas sofisticadas foram empregadas, incluindo timestomping (alteração do timestamp de um arquivo), ocultação de processos e exploração de bancos de dados Redis (remote distionary server) mal configurados, que os deixam vulneráveis à execução remota de código.
Esse tipo de ataque foi descoberto em outubro de 2021 pela equipe de pesquisa de segurança Unit42, da de Palo Alto Networks e desde então classificado como campanha de malware de cryptojacking. Originalmente os pesquisadores atribuíram o ataque ao TeamTNT, mas informações adicionais colhidas pela equipe mostraram que o ataque foi feito por um grupo de criptojacking rival do TeamTNT chamado WatchDog.
O acesso inicial para a campanha atual foi por meio de uma API mal configurada do Docker Engine, considerado um método comum de acesso inicial para malware de cryptojacking. Os invasores usaram uma ferramenta de varredura procurando servidores com a porta 2375 aberta. No estado padrão do Docker Engine, essa porta fornece acesso não autenticado ao daemon do Docker, permitindo que um invasor liste, crie e exclua contêineres em execução, além de permitir que comandos shell arbitrários sejam executados nos próprios contêineres.
O relatório completo da Cado está em “hxxps://www.cadosecurity.com/tales-from-the-honeypot-watchdog-evolves-with-a-new-multi-stage-cryptojacking-attack/”