Hackers explotan servidores YARN, Docker, Confluence y Redis mal configurados para la minería de criptomonedas.

Luis Quiles

marzo 7, 2024

Seguridad de servidores, Vulnerability

Los actores de amenazas están apuntando a servidores mal configurados y vulnerables que ejecutan servicios de Apache Hadoop YARN, Docker, Atlassian Confluence y Redis como parte de una campaña de malware emergente diseñada para distribuir un minero de criptomonedas y generar un shell inverso para acceder de forma remota y persistente.

«Los atacantes aprovechan estas herramientas para emitir código de explotación, aprovechando las configuraciones incorrectas comunes y explotando una vulnerabilidad de día cero, para llevar a cabo ataques de Ejecución de Código Remoto (RCE) e infectar nuevos hosts», dijo el investigador de seguridad de Cado, Matt Muir, en un informe compartido con The Hacker News.

La actividad ha sido denominada «Spinning YARN» por la empresa de seguridad en la nube, con coincidencias en los ataques en la nube atribuidos a TeamTNT, WatchDog y un grupo denominado Kiss-a-dog.

Todo comienza con la implementación de cuatro nuevos payloads de Golang que son capaces de automatizar la identificación y explotación de hosts susceptibles de Confluence, Docker, Hadoop YARN y Redis. Las utilidades de propagación aprovechan masscan o pnscan para buscar estos servicios.

«Para el compromiso de Docker, los atacantes generan un contenedor y escapan de él hacia el host subyacente», explicó Muir.

El acceso inicial allana el camino para la implementación de herramientas adicionales para instalar rootkits como libprocesshider y diamorphine para ocultar procesos maliciosos, dejar caer la utilidad de shell inverso de código abierto Platypus y, en última instancia, lanzar el minero XMRig.

«Está claro que los atacantes están invirtiendo tiempo significativo en comprender los tipos de servicios orientados a la web desplegados en entornos de nube, manteniéndose al tanto de las vulnerabilidades informadas en esos servicios y utilizando este conocimiento para obtener un punto de apoyo en los entornos objetivo», dijo la empresa.

Este desarrollo se produce cuando Uptycs reveló la explotación de fallos de seguridad conocidos en Apache Log4j (CVE-2021-44228) y Atlassian Confluence Server y Data Center (CVE-2022-26134) por parte de la banda 8220 como parte de una ola de ataques dirigidos a la infraestructura en la nube desde mayo de 2023 hasta febrero de 2024.

«Al aprovechar escaneos de Internet en busca de aplicaciones vulnerables, el grupo identifica posibles puntos de entrada en sistemas en la nube, explotando vulnerabilidades no parcheadas para obtener acceso no autorizado», dijeron los investigadores de seguridad Tejaswini Sandapolla y Shilpesh Trivedi.

«Una vez dentro, despliegan una serie de técnicas avanzadas de evasión, demostrando un profundo entendimiento de cómo navegar y manipular entornos en la nube a su favor. Esto incluye deshabilitar la aplicación de seguridad, modificar reglas de firewall y eliminar servicios de seguridad en la nube, asegurando así que sus actividades maliciosas permanezcan indetectadas.»

Los ataques, que apuntan tanto a hosts con Windows como con Linux, tienen como objetivo desplegar un minero de criptomonedas, pero no sin antes tomar una serie de medidas que priorizan el sigilo y la evasión.

También sigue el abuso de servicios en la nube principalmente destinados a soluciones de inteligencia artificial (IA) para distribuir mineros de criptomonedas y alojar malware.

«Con tanto la minería como la IA requiriendo acceso a grandes cantidades de potencia de procesamiento de GPU, hay un cierto grado de transferibilidad a sus entornos de hardware base», señaló HiddenLayer el año pasado.

Cado, en su Informe de Hallazgos de Amenazas en la Nube de H2 2023, señaló que los actores de amenazas están cada vez más dirigidos a servicios en la nube que requieren conocimientos técnicos especializados para explotar, y que el criptojacking ya no es el único motivo.

«Con el descubrimiento de nuevas variantes de ransomware para Linux, como Abyss Locker, existe una tendencia preocupante de ransomware en sistemas Linux y ESXi», dijo. «La infraestructura en la nube y de Linux ahora está sujeta a una variedad más amplia de ataques».

Tags :

hack, hackers, vulnerabilidad

Share this article :