Spinning YARN 2.0: майнеры нашли новую лазейку в Docker

Исследователи выявили новую кампанию вредоносного ПО, нацеленную на публичные API Docker для доставки криптовалютных майнеров и других вредоносных программ.

В числе используемых инструментов обнаружен инструмент удалённого доступа, способный загружать и исполнять дополнительные вредоносные программы, а также утилита для распространения вредоносного ПО через SSH , сообщают эксперты Datadog в своём недавнем отчёте.

Анализ кампании выявил тактические сходства с предыдущей активностью, известной как Spinning YARN, которая была выявлена компанией Cado Security и нацелена на некорректно настроенные сервисы Apache Hadoop YARN, Docker, Atlassian Confluence и Redis для криптоджекинга .

Атака начинается с поиска серверов Docker с открытыми портами (номер порта 2375) и включает несколько этапов: разведку, повышение привилегий и эксплуатацию уязвимостей.

Полезные нагрузки загружаются с помощью скрипта «vurl» из инфраструктуры, контролируемой злоумышленниками. Этот скрипт включает в себя другой скрипт «b.sh», который содержит закодированный бинарный файл «vurl». Данный файл, в свою очередь, отвечает за загрузку и запуск третьего скрипта под названием «ar.sh» (или «i.sh»).

Скрипт «b.sh» декодирует и извлекает бинарный файл в «/usr/bin/vurl», перезаписывая существующую версию скрипта, как пояснил исследователь безопасности Мэтт Мьюр. «Этот бинарный файл отличается от версии скрипта использованием жёстко закодированных доменов управления».

Скрипт «ar.sh» выполняет множество действий, включая создание рабочей директории, установку инструментов для сканирования интернета на наличие уязвимых хостов, отключение брандмауэра и загрузку следующего этапа полезной нагрузки, известной как «chkstart».

Основная цель Golang-бинарного файла «vurl» — настроить хост для удалённого доступа и загрузить дополнительные инструменты, такие как «m.tar» и «top», последний из которых является майнером XMRig .

В оригинальной кампании Spinning YARN большая часть функционала «chkstart» была реализована с помощью скриптов, пояснил Мьюр. Перенос этого функционала на код Go может указывать на попытку усложнить процесс анализа, так как статический анализ скомпилированного кода значительно сложнее, чем анализ скриптов.

Вместе с «chkstart» загружаются две другие полезные нагрузки: «exeremo» для перемещения на другие хосты и распространения инфекции, а также «fkoths» — ELF бинарный файл на Go для сокрытия следов вредоносной активности и противодействия анализу.

«Exeremo» также предназначен для установки различных инструментов сканирования, таких как pnscan, masscan и пользовательский сканер Docker («sd/httpd»), для обнаружения уязвимых систем.

Это обновление кампании Spinning YARN демонстрирует готовность продолжать атаки на некорректно настроенные хосты Docker для первоначального доступа, отметил Мьюр. Злоумышленники продолжают совершенствовать свои полезные нагрузки, переходя на код Go, что может указывать на попытку усложнить процесс анализа или эксперименты с многоархитектурными сборками.