[08/03/2024] Los investigadores de Cado Security Labs se han encontrado recientemente con una campaña de malware emergente dirigida a servidores mal configurados que ejecutan los siguientes servicios orientados a la web: Apache Hadoop YARN, Docker, Confluence y Redis
Los investigadores señalaron en su comunicado que la campaña utiliza una serie de cargas útiles únicas y no informadas, incluidos cuatro binarios de Golang, que sirven como herramientas para automatizar el descubrimiento y la infección de hosts que ejecutan los servicios anteriores. "Los atacantes aprovechan estas herramientas para emitir código de explotación, aprovechando las configuraciones erróneas comunes y explotando una vulnerabilidad de n días, para llevar a cabo ataques de ejecución remota de código (RCE) e infectar nuevos hosts”.
Una vez que se logra el acceso inicial, se utilizan una serie de scripts de shell y técnicas generales de ataque de Linux para entregar un minero de criptomonedas, generar un shell inverso y permitir el acceso persistente a los hosts comprometidos, anotaron los investigadores de Cado Security Labs.
Resumen:
- Se han descubierto cuatro nuevas cargas útiles de Golang que automatizan la identificación y explotación de hosts Docker, Hadoop YARN, Confluence y Redis
- Los atacantes despliegan un exploit para CVE-2022-26134, una vulnerabilidad de día n en Confluence que se utiliza para realizar ataques RCE
- Para el compromiso de Docker, los atacantes generan un contenedor y escapan de él al host subyacente
- Los atacantes también despliegan una instancia de la utilidad de shell inverso de código abierto Platypus para mantener el acceso al host
- Se implementan varios rootkits en modo de usuario para ocultar procesos maliciosos
Toda la información relacionada con esta alerta puede encontrarla aquí.
Franca Cavassa, CTOPerú