Ataques continuos de malware de criptominería con tácticas de evasión mejoradas

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Una campaña de minería de criptomonedas en curso ha actualizado su arsenal al tiempo que ha añadido nuevas tácticas de evasión de defensa que permiten a los actores de la amenaza ocultar las intrusiones y volar bajo el radar, según ha revelado una nueva investigación.

Desde que se detectó por primera vez en 2019, se han registrado un total de 84 ataques contra sus servidores de honeypot hasta la fecha, cuatro de los cuales se produjeron en 2021, según los investigadores de DevSecOps y la firma de seguridad en la nube Aqua Security, que han estado siguiendo la operación de malware durante los últimos tres años. Sin embargo, sólo en el tercer trimestre de 2021 se han detectado 125 ataques, lo que indica que los ataques no han disminuido.

Los ataques iniciales implicaban la ejecución de un comando malicioso al ejecutar una imagen vanilla llamada “alpine:latest” que daba lugar a la descarga de un script de shell llamado “autom.sh”.

El script de shell inicia la secuencia de ataque, permitiendo al adversario crear una nueva cuenta de usuario con el nombre de “akay” y elevar sus privilegios a usuario root, mediante el cual se ejecutan comandos arbitrarios en la máquina comprometida con el objetivo de minar criptomonedas.

Mientras que las primeras etapas de la campaña en 2019 no presentaban técnicas especiales para ocultar la actividad de minería, las versiones posteriores muestran las medidas extremas que sus desarrolladores han tomado para mantenerla invisible a la detección e inspección, siendo la principal la capacidad de desactivar los mecanismos de seguridad y recuperar un script shell de minería ofuscado que fue codificado en Base64 cinco veces para eludir las herramientas de seguridad.

Las campañas de malware llevadas a cabo para secuestrar ordenadores con el fin de minar criptomonedas han sido dominadas por múltiples actores de amenazas, como Kinsing, que se ha encontrado escaneando Internet en busca de servidores Docker mal configurados para irrumpir en los hosts desprotegidos e instalar una cepa minera de monedas no documentada previamente.

Además, se ha observado a un grupo de piratas informáticos llamado TeamTNT, atacando servidores de bases de datos Redis no seguros, instancias de Alibaba Elastic Computing Service (ECS), APIs de Docker expuestas y clusters Kubernetes vulnerables para ejecutar código malicioso con privilegios de root en los hosts objetivo, así como desplegar cargas útiles de minería de criptomonedas y robos de credenciales. Además, las cuentas comprometidas de Docker Hub también se han empleado para alojar imágenes maliciosas que luego se utilizaron para distribuir mineros de criptomonedas.

En las últimas semanas, los fallos de seguridad en la biblioteca de registro Log4j, así como las vulnerabilidades descubiertas recientemente en Atlassian Confluence, F5 BIG-IP, VMware vCenter y Oracle WebLogic Servers, han sido utilizados para tomar el control de máquinas para minar criptomonedas, un esquema conocido como cryptojacking. A principios de este mes, el fabricante de dispositivos de almacenamiento conectado a la red (NAS) QNAP advirtió de la existencia de malware de minería de criptomonedas dirigido a sus dispositivos que podría ocupar alrededor del 50% del uso total de la CPU.

“Los mineros son una forma de bajo riesgo para que los ciberdelincuentes conviertan una vulnerabilidad en dinero digital, y el mayor riesgo para su flujo de dinero es que los mineros de la competencia descubran los mismos servidores vulnerables”, señaló el investigador principal de amenazas de Sophos, Sean Gallagher, en un análisis de una campaña de minería Tor2Mine, que implica el uso de un script de PowerShell para desactivar la protección contra el malware, ejecutar una carga útil del minero y cosechar credenciales de Windows.

La campaña de Autom ilustra que los atacantes son cada vez más sofisticados, mejorando continuamente sus técnicas y su capacidad para evitar la detección por parte de las soluciones de seguridad”, señalan los investigadores. Para protegerse contra estas amenazas, se recomienda vigilar la actividad sospechosa de los contenedores, realizar análisis de imágenes dinámicas y escanear rutinariamente los entornos en busca de problemas de desconfiguración.

Info – Ciberseguridad Latam