LemonDuck, una red de bots de minería de criptomonedas multiplataforma, tiene como objetivo Docker para minar criptomonedas en sistemas Linux como parte de una campaña de malware activa.
"Ejecuta una operación de minería anónima mediante el uso de grupos proxy, que ocultan las direcciones de la cartera", dijo CrowdStrike en un nuevo informe. "Evade la detección apuntando al servicio de monitoreo de Alibaba Cloud y desactivándolo".
Conocido por atacar tanto entornos Windows como Linux, LemonDuck, está diseñado principalmente para abusar de los recursos del sistema para minar Monero. Pero también es capaz de robar credenciales, realizar movimientos laterales y facilitar el despliegue de cargas útiles adicionales para actividades posteriores.
"Utiliza una amplia gama de mecanismos de propagación (correos electrónicos de phishing, exploits, dispositivos USB, fuerza bruta, entre otros) y ha demostrado que puede aprovechar rápidamente las noticias, los eventos o el lanzamiento de nuevos exploits para ejecutar campañas efectivas", detalló Microsoft en un escrito técnico sobre el malware el pasado julio.
A principios de 2021, las cadenas de ataques en las que participaba LemonDuck aprovechaban las vulnerabilidades de Exchange Server, entonces recién parcheadas, para acceder a máquinas Windows obsoletas, antes de descargar puertas traseras y ladrones de información, incluido Ramnit.
La última campaña detectada por CrowdStrike se aprovecha de las APIs de Docker expuestas como vector de acceso inicial, utilizándolas para ejecutar un contenedor falso para recuperar un archivo de script de shell Bash que se disfraza como un inofensivo archivo de imagen PNG desde un servidor remoto.
Un análisis de los datos históricos muestra que el actor de la amenaza utilizó archivos dropper similares alojados en dominios asociados a LemonDuck desde al menos enero de 2021, señaló la empresa de ciberseguridad.
Los archivos dropper son clave para lanzar el ataque, con el script de shell descargando la datos de malware real que luego mata los procesos de la competencia, desactiva los servicios de monitoreo de Alibaba Cloud y finalmente, descarga y ejecuta el minero de monedas XMRig.
Dado que las instancias en la nube comprometidas se están convirtiendo en un caldo de cultivo para las actividades ilícitas de minería de criptomonedas, los hallazgos subrayan la necesidad de proteger los contenedores de los posibles riesgos en toda la cadena de suministro de software.
TeamTNT apunta a AWS y Alibaba Cloud
La revelación se produce cuando Cisco Talos expuso el conjunto de herramientas de un grupo de ciberdelincuentes llamado TeamTNT, que tiene un historial de ataques a la infraestructura de la nube para el criptojacking y la colocación de puertas traseras.
Los datos de malware, que se dice que han sido modificadas en respuesta a revelaciones públicas anteriores, están diseñadas principalmente para atacar a Amazon Web Services (AWS), mientras que simultáneamente se centran en la minería de criptomonedas, la persistencia, el movimiento lateral y la desactivación de las soluciones de seguridad en la nube.
"Los ciberdelincuentes que son descubiertos por los investigadores de seguridad deben actualizar sus herramientas para seguir operando con éxito", dijo el investigador de Talos Darin Smith.
"Las herramientas utilizadas por TeamTNT demuestran que los ciberdelincuentes se sienten cada vez más cómodos atacando entornos modernos como Docker, Kubernetes y proveedores de nube pública, que tradicionalmente han sido evitados por otros ciberdelincuentes que, en cambio, se han centrado en entornos locales o móviles."
Spring4Shell explotado para la minería de criptomonedas
Eso no es todo. En otro ejemplo de cómo los actores de las amenazas co-optan rápidamente los fallos recientemente revelados en sus ataques, el fallo crítico de ejecución remota de código en Spring Framework (CVE-2022-22965) ha sido utilizado como arma para desplegar mineros de criptomonedas.
Los intentos de explotación hacen uso de un shell web personalizado para desplegar los mineros de criptomonedas, pero, no sin antes desactivar el firewall y terminar otros procesos de mineros de monedas virtuales.
"Estos mineros de criptomonedas tienen el potencial de afectar a un gran número de usuarios, especialmente porque Spring es el marco de trabajo más utilizado para el desarrollo de aplicaciones de nivel empresarial en Java", dijeron los investigadores de Trend Micro Nitesh Surana y Ashish Verma.