I ricercatori hanno individuato una campagna concertata di compromissione informatica rivolta ai server cloud che eseguono istanze vulnerabili di Apache Hadoop, Atlassian Confluence, Docker e Redis. Gli aggressori stanno abbandonando uno strumento di cryptomining, ma stanno anche installando una reverse shell basata su Linux che consentirebbe potenziali bersagli futuri e infestazioni di malware.
Secondo un'analisi di Cado Security, nella maggior parte dei casi l'avversario è alla ricerca di errori di configurazione del cloud comuni da sfruttare. Tuttavia, ha utilizzato anche una vecchia vulnerabilità RCE (Remote Code Execution) nel server Confluence (CVE-2022-26134) nella sua campagna in corso.
I ricercatori hanno anche affermato che le tattiche degli aggressori si sovrappongono a TeamTNT e WatchDog, due gruppi di minacce noti per prendere di mira ambienti cloud e container.
"Gli attacchi sono relativamente codificati e automatizzati, quindi cercano vulnerabilità note in Confluence e altre piattaforme e configurazioni errate ben note in piattaforme come Redis e Docker", afferma Chris Doman, co-fondatore e CTO di Cado Security.
Identificare queste istanze vulnerabili è spesso semplice, poiché si basa sulla scansione come primo passo e sull’attacco delle istanze vulnerabili identificate come secondo passo. "Evitare questi problemi significa spesso risolvere i problemi a portata di mano, assicurandosi che i sistemi siano dotati di patch o almeno non siano accessibili tramite Internet”.
Gli attacchi informatici YARN "rotanti" prendono di mira i server cloud
I ricercatori di Cado Security hanno soprannominato la campagna Filatura del FILATO, dopo il livello di gestione delle risorse del cluster "Yet Another Resource Negotiator" di Apache Hadoop. Lo hanno scoperto mentre indagavano su una raffica di attività di accesso iniziale su uno degli honeypot Docker di Cado. La loro analisi ha portato alla scoperta di quattro file binari Golang precedentemente sconosciuti che l’autore della minaccia sta utilizzando per automatizzare il rilevamento e la compromissione dei server che eseguono le quattro piattaforme cloud.
I ricercatori di Cado hanno anche scoperto che l'autore della minaccia distribuiva numerosi altri payload unici, tra cui Platypus (un'utilità open source di reverse shell per mantenere la persistenza) e due rootkit in modalità utente per offuscare i processi dannosi.
“Una volta ottenuto l’accesso iniziale, vengono utilizzati una serie di script di shell e tecniche generali di attacco a Linux consegnare un minatore di criptovaluta, generano una shell inversa e consentono l'accesso persistente agli host compromessi", ha affermato l'azienda in un post sul blog questa settimana.
La campagna in corso è l’ultima manifestazione del tempo e degli sforzi che gli autori delle minacce sembrano dedicare alla comprensione delle vulnerabilità nei servizi rivolti al Web negli ambienti cloud e all’individuazione di modi per sfruttarli per l’accesso iniziale, ha affermato il fornitore di sicurezza. Dall'inizio del 2024, i ricercatori di Cado hanno osservato un totale di tre campagne, inclusa l'ultima, in cui un attore di minacce ha sfruttato Docker per l'accesso iniziale all'ambiente cloud più ampio di un'organizzazione, ha osservato l'azienda.
Molti di questi attacchi hanno comportato tentativi di implementare cryptominer. All’inizio di quest’anno, i ricercatori di Aqua Nautilus hanno riferito di uno sfruttamento da parte di un attore di minacce due errori di configurazione noti in Hadoop YARN e Flink per rilasciare un minatore per la criptovaluta Monero. Quella campagna, come quella segnalata da Cado questa settimana, prevedeva l'uso di rootkit, modifiche alla configurazione del sistema, file binari ELF compressi e altri metodi per eludere il rilevamento. L'anno scorso, i ricercatori di Aqua hanno scoperto un'altra campagna in cui un attore di minacce ha infettato oltre 1,200 server Redis con un cryptominer tramite uno strumento malware quasi non rilevabile che hanno soprannominato "HeadCrab".
Nel cloud con una catena di attacco multistadio
Nell'attacco all'honeypot Docker di Cado, gli autori della minaccia hanno emesso un comando Docker da un indirizzo IP statunitense che ha generato un nuovo contenitore con una configurazione che consentiva al contenitore di accedere e interagire con file e directory sul sistema host sottostante. È un metodo che gli avversari utilizzano comunemente negli attacchi Docker perché consente loro di scrivere file sul sistema host o essenzialmente di condurre un attacco RCE, ha affermato Cado.
In questo caso particolare, gli aggressori hanno adottato la tattica di scrivere una funzione di script di shell che stabilisse il contatto con un server di comando e controllo remoto (C2), e poi recuperassero da esso un payload della prima fase.
La funzione del payload della prima fase è definire il C2 per payload aggiuntivi e verificare la presenza di chattr, uno strumento Linux per modificare gli attributi di file e directory. Se lo strumento è presente, il payload iniziale lo rinomina. In caso contrario, il malware installa chattr sul sistema compromesso e poi lo rinomina, ha detto Cado. Quel payload primario o di prima fase recupera quindi il payload successivo dopo aver verificato se l'utente corrente del sistema ha accesso come amministratore.
Le funzioni del payload della seconda fase includono l'ammorbidimento del sistema per ulteriori compromessi, tra le altre cose, eseguendo comandi per disabilitare firewall e regole di filtro IP, cancellando la cronologia della shell, disabilitando le funzioni di controllo degli accessi e rimuovendo eventuali restrizioni sulle richieste DNS in uscita.
Lo script di shell della seconda fase adotta anche varie misure anti-forensi come l'installazione di due rootkit in modalità utente per nascondere attività dannose e garantire che i comandi dannosi non vengano visualizzati nel file della cronologia. Scarica anche Platypus per l'accesso persistente e il cyptominer XMRig per Monero.
La catena di attacco include anche script di shell per cercare ed eliminare immagini Docker dai repository Ubuntu o Alpine e per scaricare e rendere persistenti numerosi altri payload binari su sistemi compromessi.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cloud-security/cloud-y-linux-malware-rains-apache-docker-redis-confluence
