3 min read

Mineradores de criptomoedas visando Dockers, AWS e Alibaba Cloud

Mineradores de criptomoedas visando Dockers, AWS e Alibaba Cloud
Photo by Maxim Hopman / Unsplash

O LemonDuck, um botnet de mineração de criptomoedas multiplataforma, tem como alvo o Docker para minerar criptomoedas em sistemas Linux como parte de uma campanha de malware ativa.

“Ele executa uma operação de mineração anônima pelo uso de pools de proxy, que ocultam os endereços da carteira”, disse a CrowdStrike em um novo relatório. "Ele evita a detecção, visando o serviço de monitoramento do Alibaba Cloud e desabilitando-o."

Conhecido por atacar ambientes Windows e Linux, o LemonDuck é projetado principalmente para abusar dos recursos do sistema para minerar o Monero. Mas também é capaz de roubo de credenciais, movimentação lateral e facilita a implantação de cargas adicionais para atividades subsequentes.

"Ele usa uma ampla gama de mecanismos de disseminação - e-mails de phishing, exploits, dispositivos USB, força bruta, entre outros - e mostrou que pode aproveitar rapidamente notícias, eventos ou o lançamento de novos exploits para executar campanhas eficazes." A Microsoft detalhou em um relatório técnico do malware em julho passado.

No início de 2021, as cadeias de ataque envolvendo o LemonDuck aproveitaram as vulnerabilidades do Exchange Server, então recém corrigidas, para obter acesso a máquinas Windows desatualizadas, antes de baixar backdoors e ladrões de informações, incluindo Ramnit.

A campanha mais recente identificada pelo CrowdStrike aproveita as APIs expostas do Docker como um vetor de acesso inicial, usando-o para executar um contêiner não autorizado para recuperar um arquivo de script de shell Bash disfarçado como um arquivo de imagem PNG inofensivo de um servidor remoto.

Uma análise de dados históricos mostra que droppers de arquivos de imagem semelhantes hospedados em domínios associados ao LemonDuck foram usados ​​pelo agente da ameaça desde pelo menos janeiro de 2021, observou a empresa de segurança cibernética.

botnet de mineração de criptomoedas

Os arquivos dropper são a chave para o lançamento do ataque, com o script de shell baixando a carga útil real que mata os processos concorrentes, desativa os serviços de monitoramento do Alibaba Cloud e, finalmente, baixa e executa o minerador de moedas XMRig.

Com as instâncias de nuvem comprometidas se tornando um foco para atividades ilícitas de mineração de criptomoedas, as descobertas ressaltam a necessidade de proteger os contêineres de riscos potenciais em toda a cadeia de fornecimento de software.

TeamTNT visa AWS, Alibaba Cloud

A divulgação ocorre quando a Cisco Talos expôs o conjunto de ferramentas de um grupo de crimes cibernéticos chamado TeamTNT, que tem um histórico de direcionar infraestrutura em nuvem para criptojacking e colocação de backdoors.

botnet de mineração de criptomoedas

As cargas de malware, que teriam sido modificadas em resposta a divulgações públicas anteriores, são projetadas principalmente para atingir a Amazon Web Services (AWS), enquanto simultaneamente se concentram na mineração de criptomoedas, persistência, movimento lateral e desabilitação de soluções de segurança na nuvem.

“Os cibercriminosos que são descobertos por pesquisadores de segurança devem atualizar suas ferramentas para continuar operando com sucesso”, disse o pesquisador do Talos, Darin Smith.

“As ferramentas usadas pelo TeamTNT demonstram que os cibercriminosos estão cada vez mais confortáveis ​​​​atacando ambientes modernos, como Docker, Kubernetes e provedores de nuvem pública, que tradicionalmente eram evitados por outros cibercriminosos que se concentravam em ambientes locais ou móveis”.

Spring4Shell explorado para mineração de criptomoedas

Isso não é tudo. Em mais um exemplo de como os agentes de ameaças rapidamente cooptam falhas recém-divulgadas em seus ataques, o bug crítico de execução remota de código no Spring Framework (CVE-2022-22965) foi armado para implantar mineradores de criptomoedas.

As tentativas de exploração usam um web shell personalizado para implantar os mineradores de criptomoeda, mas não antes de desligar o firewall e encerrar outros processos de minerador de moeda virtual.

“Esses mineradores de criptomoedas têm o potencial de afetar um grande número de usuários, especialmente porque o Spring é a estrutura mais usada para desenvolver aplicativos de nível empresarial em Java”, disseram Nitesh Surana e Ashish Verma, pesquisadores da Trend Micro.