Campanha de malware Linux visa servidores de cloud mal configurados

A empresa de cibersegurança Cado Security alertou para a descoberta de uma nova campanha de cryptojacking assente no malware Linux, que tem como alvo servidores de cloud mal configurados, nomeadamente instâncias como Apache Hadoop, Confluence, Docker e Redis, com novas cargas maliciosas.

No âmbito da campanha de malware, são empregues quatro novas cargas Golang pela parte dos invasores para possibilitar a automatização da descoberta e exploração de hosts vulneráveis, bem como um shell reverso e vários rootkits com o modo de utilizador para esconder a sua presença.

Nos ataques direcionados ao Docker, os cibercriminosos recorreram a um comando para gerar um novo container e criaram uma montagem de ligação para o diretório raiz do servidor, permitindo-lhes escrever um executável utilizado para estabelecer uma conexão com o comando e controlo (C&C) dos invasores e para recuperar uma carga útil de primeira frase do mesmo.

A carga útil remete para um script de shell que tem a capacidade de definir um C&C a hospedar cargas adicionais, de verificar a existência de um utilitário e renomeá-lo, de instalar e renomear o utilitário se este não existir, e de determinar se o acesso root está disponível e ir buscar uma carga útil com base nisso.

Além disto, verificou-se a implantação pela parte dos cibercriminosos de um segundo script de shell para a entrega de um miner XMRig, um script e vários utilitários, incluindo ‘masscan’ para a descoberta de host. Ainda mais, o shell script exclui ainda o histórico do shell e consegue enfraquecer a máquina ao desabilitar o SELinux e outras funções e ao desinstalar agentes de monitorização.

O script é também capaz de inserir uma chave SSH controlada pelo invasor e registar serviços systemd para persistência, recuperar o utilitário de shell reverso Golang de código aberto Platypus, descobrir chaves SSH e propagar malware através de comandos SSH, e implantar um binário adicional.

Com as cargas Golang implantadas nos ataques, os cibercriminosos conseguem procurar imagens Docker nos repositórios Ubuntu ou Alpine e apagá-las, podendo ainda identificar e explorar instâncias mal configuradas ou vulneráveis de Hadoop, Confluence, Docker e Redis expostas à Internet.

“Este ataque extenso demonstra a variedade de técnicas de acesso inicial disponíveis para developers de malware em cloud e Linux. Está claro que os invasores estão a investir um tempo significativo na compreensão dos tipos de serviços voltados para a Web implantados em ambientes de cloud, mantendo-se atualizados sobre as vulnerabilidades reportadas nesses serviços e utilizando esse conhecimento para ganhar uma posição segura nos ambientes alvo”, afirma a Cado.