Alertas de Seguridad

Atacan a Docker, Hadoop, Confluence y Redis

Con nuevas cargas útiles

[08/03/2024] Los investigadores de Cado Security Labs se han encontrado recientemente con una campaña de malware emergente dirigida a servidores mal configurados que ejecutan los siguientes servicios orientados a la web: Apache Hadoop YARN, Docker, Confluence y Redis

Los investigadores señalaron en su comunicado que la campaña utiliza una serie de cargas útiles únicas y no informadas, incluidos cuatro binarios de Golang, que sirven como herramientas para automatizar el descubrimiento y la infección de hosts que ejecutan los servicios anteriores. "Los atacantes aprovechan estas herramientas para emitir código de explotación, aprovechando las configuraciones erróneas comunes y explotando una vulnerabilidad de n días, para llevar a cabo ataques de ejecución remota de código (RCE) e infectar nuevos hosts.

Una vez que se logra el acceso inicial, se utilizan una serie de scripts de shell y técnicas generales de ataque de Linux para entregar un minero de criptomonedas, generar un shell inverso y permitir el acceso persistente a los hosts comprometidos, anotaron los investigadores de Cado Security Labs.

Resumen:

  • Se han descubierto cuatro nuevas cargas útiles de Golang que automatizan la identificación y explotación de hosts Docker, Hadoop YARN, Confluence y Redis
  • Los atacantes despliegan un exploit para CVE-2022-26134, una vulnerabilidad de día n en Confluence que se utiliza para realizar ataques RCE
  • Para el compromiso de Docker, los atacantes generan un contenedor y escapan de él al host subyacente
  • Los atacantes también despliegan una instancia de la utilidad de shell inverso de código abierto Platypus para mantener el acceso al host
  • Se implementan varios rootkits en modo de usuario para ocultar procesos maliciosos

Toda la información relacionada con esta alerta puede encontrarla aquí.

Llegamos a ustedes gracias a:


BrandPosts Qué es BrandPost

Más »
×
Los artículos publicados en esta sección -BrandPosts- son escritos y editados por los proveedores o miembros de la comunidad TI. BrandPosts crea una oportunidad para que un patrocinador proporcione información y comentarios desde su punto de vista, directamente a la audiencia de CTO Perú. El equipo editorial de CTO Perú no participa en la redacción o edición de estos BrandPosts.

Primer contacto

Más »

Casos de éxito

Más »