background-1900329_1280-1.jpg

Malware para Linux mira servidor em nuvem mal configurado

Uma campanha de cryptojacking (invasão de computador para minerar criptomoeda) envolvendo malware Linux tem como alvo instâncias mal configuradas de Apache Hadoop, Confluence, Docker e Redis com cargas maliciosas novas e exclusivas, alerta a empresa de segurança cibernética Cado Security.

Como parte da campanha, os invasores empregam quatro novas cargas de linguagem Golang para automatizar a descoberta e exploração de hosts vulneráveis, bem como um shell reverso e vários rootkits de modo de usuário para ocultar sua presença.

Em ataques direcionados ao Docker, os agentes da ameaça usaram um comando para gerar um novo contêiner e criaram uma montagem de ligação para o diretório raiz do servidor que lhes permitiu escrever um executável usado para estabelecer uma conexão com o comando e controle (C&C) dos invasores e para recuperar uma carga útil de primeiro estágio dele. A carga útil é um script de shell que pode definir um C&C hospedando cargas adicionais, verificar a existência de um utilitário e renomeá-lo, instalar e renomear o utilitário se ele não existir e determinar se o acesso root está disponível e buscar uma carga útil com base nisso.

Veja isso
Sistemas Linux sob risco de invasão com falha no Shim
Versão Linux do ransomware Qilin se concentra no VMware ESXi

Os invasores também foram vistos implantando um segundo script de shell para a entrega de um minerador XMRig, um script e vários utilitários, incluindo ‘masscan’ para descoberta de host. O shell script também exclui o histórico do shell e enfraquece a máquina ao desabilitar o SELinux e outras funções e ao desinstalar agentes de monitoramento.

O script também foi detectado implantando os rootkits de modo de usuário ‘libprocesshider’ e ‘diamorphine’ para ocultar processos maliciosos. O uso desses rootkits se assemelha a uma campanha de malware Migo observada recentemente visando servidores Redis.

As cargas Golang implantadas nesses ataques permitem que os invasores procurem imagens Docker nos repositórios Ubuntu ou Alpine e as excluam, além de identificar e explorar instâncias mal configuradas ou vulneráveis de Hadoop, Confluence, Docker e Redis expostas à internet.

Em ataques direcionados aos servidores Confluence, os operadores da ameaça foram vistos explorando CVE-2022-26134, uma falha crítica de execução remota de código corrigida em junho de 2022, quando já era explorada como dia zero.

Para ter acesso ao relatório completo da Cado (em inglês) clique aqui.