Kijk uit! Cryptocurrency-mijnwerkers die zich richten op Dockers, AWS en Alibaba Cloud

Mineurs de crypto-monnaie Nachrichten

LemonDuck, een cross-platform cryptocurrency mining-botnet, richt zich op Docker om cryptocurrency op Linux-systemen te delven als onderdeel van een actieve malwarecampagne.

“Het voert een anonieme mijnbouwoperatie uit door het gebruik van proxy-pools, die de portemonnee-adressen verbergen,” CrowdStrike zei in een nieuw rapport. “Het ontwijkt detectie door de monitoringservice van Alibaba Cloud te targeten en uit te schakelen.”

LemonDuck staat erom bekend zowel Windows- als Linux-omgevingen te treffen en is voornamelijk ontworpen voor het misbruiken van de systeembronnen om Monero te minen. Maar het is ook in staat om legitimatiegegevens te stelen, zijwaarts te bewegen en de inzet van extra ladingen voor vervolgactiviteiten te vergemakkelijken.

“Het maakt gebruik van een breed scala aan verspreidingsmechanismen – onder meer phishing-e-mails, exploits, USB-apparaten, brute force – en het heeft aangetoond dat het snel kan profiteren van nieuws, evenementen of de release van nieuwe exploits om effectieve campagnes uit te voeren, ” Microsoft heeft in juli een technische beschrijving van de malware gegeven.

Begin 2021 aanvalsketens met LemonDuck hefboomwerking de toen nieuw gepatchte Exchange Server-kwetsbaarheden om toegang te krijgen tot verouderde Windows-machines, voordat backdoors en informatie-stelers, waaronder Ramnit, werden gedownload.

De nieuwste campagne die door CrowdStrike is opgemerkt, maakt gebruik van blootgestelde Docker-API’s als initiële toegangsvector en gebruikt deze om een ​​malafide container uit te voeren om een ​​Bash-shellscriptbestand op te halen dat is vermomd als een onschadelijk PNG-afbeeldingsbestand van een externe server.

Een analyse van historische gegevens laat zien dat vergelijkbare droppers voor afbeeldingsbestanden die worden gehost op LemonDuck-geassocieerde domeinen sinds ten minste januari 2021 door de dreigingsactor worden gebruikt, merkte het cyberbeveiligingsbedrijf op.

cryptocurrency-mijnbotnet

De dropper-bestanden zijn de sleutel tot het lanceren van de aanval, waarbij het shellscript de daadwerkelijke payload downloadt die vervolgens concurrerende processen doodt, de monitoringdiensten van Alibaba Cloud uitschakelt en ten slotte de XMRig-muntmijnwerker downloadt en uitvoert.

Nu gecompromitteerde cloudinstanties een broeinest worden voor illegale cryptocurrency-miningactiviteiten, onderstrepen de bevindingen de noodzaak om containers te beveiligen tegen potentiële risico’s in de hele softwaretoeleveringsketen.

TeamTNT richt zich op AWS, Alibaba Cloud

De onthulling komt op het moment dat Cisco Talos de toolset blootlegde van een cybercriminaliteitsgroep genaamd TeamTNT, die een geschiedenis heeft van het richten op cloudinfrastructuur voor cryptojacking en het plaatsen van achterdeurtjes.

cryptocurrency-mijnbotnet

De malware-payloads, waarvan wordt gezegd dat ze zijn aangepast als reactie op: eerdere openbare onthullingenzijn voornamelijk ontworpen om Amazon Web Services (AWS) te targeten en zijn tegelijkertijd gericht op cryptocurrency-mining, persistentie, zijwaartse beweging en het uitschakelen van cloudbeveiligingsoplossingen.

“Cybercriminelen die door beveiligingsonderzoekers worden ontmaskerd, moeten hun tools updaten om succesvol te kunnen blijven opereren”, zegt Talos-onderzoeker Darin Smith. zei.

“De tools die door TeamTNT worden gebruikt, tonen aan dat cybercriminelen zich steeds meer op hun gemak voelen bij het aanvallen van moderne omgevingen zoals Docker, Kubernetes en openbare cloudproviders, die traditioneel werden vermeden door andere cybercriminelen die zich in plaats daarvan richtten op on-premise of mobiele omgevingen.”

Spring4Shell misbruikt voor cryptocurrency-mining

Dat is niet alles. In nog een ander voorbeeld van hoe dreigingsactoren snel nieuw onthulde fouten in hun aanvallen coöpteren, is de kritieke bug voor het uitvoeren van externe code in Spring Framework (CVE-2022-22965) bewapend om cryptocurrency-mijnwerkers in te zetten.

De exploitatiepogingen maken gebruik van een aangepaste webshell om de cryptocurrency-mijnwerkers in te zetten, maar niet voordat de firewall is uitgeschakeld en andere virtuele valuta-minerprocessen zijn beëindigd.

“Deze cryptocurrency-mijnwerkers hebben het potentieel om een ​​groot aantal gebruikers te beïnvloeden, vooral omdat Spring het meest gebruikte raamwerk is voor het ontwikkelen van applicaties op bedrijfsniveau in Java,” Trend Micro-onderzoekers Nitesh Surana en Ashish Verma zei.

David
Rate author
Hackarizona