La botnet LemonDuck saquea las instancias de la nube de Docker en la ola de delitos de criptomonedas



Los operadores de la botnet LemonDuck están apuntando a las instancias de Docker en una campaña de minería de criptomonedas. LemonDuck es un malware de minería de criptomonedas envuelto en una estructura de botnet. El malware aprovecha las vulnerabilidades más antiguas para infiltrarse en los sistemas y servidores de la nube, incluidos los errores de Microsoft Exchange ProxyLogon, EternalBlue y BlueKeep.
Como señaló el equipo de seguridad de Microsoft en 2021, se sabe que los actores de amenazas detrás del malware son selectivos en lo que respecta al momento y pueden desencadenar un ataque cuando los equipos se centran en "parchar una vulnerabilidad popular en lugar de investigar el compromiso". LemonDuck ha ampliado sus operaciones desde máquinas Windows también para incluir Linux y Docker. En una campaña activa y en curso, Crowdstrike dice que las API de Docker están dirigidas a obtener acceso inicial a las instancias de la nube.
Docker se utiliza para ejecutar contenedores en la nube. El jueves, los investigadores de seguridad cibernética dijeron que LemonDuck aprovechará las configuraciones incorrectas en instancias que causan la exposición de API para implementar kits de explotación y cargar malware. En un caso observado por el equipo, se abusó de una API expuesta para ejecutar una instrucción ENTRYPOINT de Docker personalizada y descargar "core.
png", un archivo de imagen disfrazado de secuencia de comandos Bash. El archivo se descargó de un dominio en la infraestructura de comando y control (C2) "vasta" de LemonDuck. "CrowdStrike encontró varias campañas operadas a través del dominio dirigidas a las plataformas Windows y Linux simultáneamente", señalaron los investigadores.
Core.png iniciará un cronjob de Linux dentro del contenedor vulnerable y luego descargará un archivo Bash secundario, "a.asp", la carga útil principal de LemonDuck.
El cronjob activará LemonDuck. El malware primero matará varios procesos, incluidas las conexiones de red, las operaciones de minería de criptomonedas rivales y los vínculos existentes con los grupos de minería. LemonDuck también apuntará a demonios conocidos encargados de monitorear, como el servicio de monitoreo de Alibaba Cloud.
Ahora que el servidor ha sido preparado, comienza una operación de minería de criptomonedas. XMRig, utilizado para generar Monero (XMR), se inicia con una configuración establecida en grupos de proxy, un intento de ocultar la verdadera dirección de la billetera de criptomonedas del atacante. Sin embargo, LemonDuck no se detiene en una sola instancia de Docker.
El malware también buscará claves SSH en el sistema de archivos para iniciar sesión en otros servidores y repetir sus operaciones maliciosas. "Debido al auge de las criptomonedas en los últimos años, combinado con la adopción de la nube y los contenedores en las empresas, se ha demostrado que la criptominería es una opción económicamente atractiva para los atacantes, dicen los investigadores. "Dado que los ecosistemas de la nube y los contenedores usan Linux en gran medida, llamó la atención de los operadores de botnets como LemonDuck, que comenzó a apuntar a Docker para la minería de criptomonedas en la plataforma Linux.
" ¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o en Keybase: charlie0.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı