ClickCease Commando Cat Ataca: Proteja hoy mismo las API de Docker expuestas

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Commando Cat Ataca: Proteja hoy mismo las API de Docker expuestas

Wajahat Raja

14 de febrero de 2024 - Equipo de expertos TuxCare

Los riesgos de las API de Docker expuestas plantean importantes amenazas a la seguridad de las organizaciones que utilizan tecnología de contenedores. En los últimos meses, una sofisticada operación de cryptojacking apodada Commando Cat ha surgido como una potente amenaza para la seguridad de las API de Docker accesible a través de Internet. Esta campaña, detallada por los investigadores de seguridad de Cado Nate Bill y Matt Muir, significa una tendencia preocupante en las amenazas cibernéticas dirigidas a hosts Docker vulnerables.

 

Comprender a Commando Cat


Commando Cat utiliza Docker como puerta de entrada para infiltrarse en los sistemas, desplegando un contenedor benigno creado a través del proyecto Commando. Una vez dentro, el atacante orquesta una serie de acciones maliciosas, incluyendo escapar de los confines del contenedor para ejecutar múltiples cargas útiles en el host Docker.
Violación de la API de Docker prevención requiere medidas de seguridad proactivas y una vigilancia atenta para protegerse de posibles vulnerabilidades.


Calendario de actividades


con temática gatuna
ciberataques añaden un giro único al panorama en constante evolución de las amenazas a la ciberseguridad. Se cree que está operativo desde principios de 2024, Comando Gato sigue de cerca los pasos de campañas similares. En enero del mismo año, salió a la luz otro grupo de actividades maliciosas dirigidas a explotar hosts Docker vulnerables, lo que pone de relieve la creciente prevalencia de este tipo de amenazas.


Modus operandi


El modus operandi de
Commando Cat consiste en aprovechar Docker para iniciar el acceso y entregar una serie de cargas útiles interconectadas desde un servidor controlado por el atacante. Estas cargas útiles abarcan una serie de actividades nefastas, desde el establecimiento de la persistencia y el backdooring del host hasta la exfiltración de credenciales de proveedores de servicios en la nube y el lanzamiento de operaciones de minería de criptomonedas.


Escapar del confinamiento


Un aspecto notable de la estrategia de Commando Cat es su capacidad para escapar de las restricciones del contenedor utilizando el comando chroot, extendiendo efectivamente su alcance dentro del sistema anfitrión. Esta maniobra permite al atacante ejecutar más comandos y escalar privilegios, amplificando el impacto del ciberataque de
ciberataque Commando Cat.


Identificación de vulnerabilidades de la contenedorización


Una vez instalado en las instancias Docker susceptibles, Commando Cat lleva a cabo un reconocimiento exhaustivo, buscando servicios activos específicos como
"ys-kernel-debugger", "gsc", "c3pool_miner" y y "dockercache". Este meticuloso enfoque garantiza que el ataque sólo se produzca en condiciones óptimas, maximizando sus posibilidades de éxito.


Aprovechar los puntos débiles


Las etapas posteriores del ataque implican el despliegue de cargas útiles adicionales desde un servidor de comando y control, incluidos scripts de shell capaces de crear puertas traseras, añadir claves SSH y establecer cuentas de usuario fraudulentas con privilegios elevados. Estas acciones allanan el camino para un acceso y control prolongados sobre el sistema comprometido.


Tácticas de evasión


La ciberseguridad para contenedores Docker
es esencial en el panorama digital actual. Commando Cat emplea varias tácticas de evasión para frustrar la detección y el análisis forense. Al utilizar ubicaciones de almacenamiento de archivos poco convencionales, como /dev/shm en lugar de /tmp, el malware minimiza su huella en el disco, lo que dificulta su rastreo y mitigación.


Ciberamenazas para los entornos en contenedores


Un objetivo clave de Commando Cat es el despliegue de software de minería de criptomonedas, como XMRig, para explotar los recursos computacionales de las máquinas infectadas con fines lucrativos. Esta carga útil se ejecuta después de eliminar los procesos de minería competidores, lo que garantiza la máxima eficiencia en la utilización de los recursos.


Retos de la atribución


Aunque los orígenes exactos de
Commando Cat siguen siendo esquivos, ciertos indicadores sugieren posibles vínculos con grupos conocidos de criptojacking como TeamTNT. Sin embargo, una atribución concluyente resulta difícil debido a la naturaleza de las operaciones cibernéticas y a la prevalencia de tácticas de imitación. Por lo tanto, proteger los contenedores Docker es crucial para mantener una ciberseguridad robusta ciberseguridad en los entornos informáticos modernos.


Conclusión


En conclusión,
Commando Cat representa una amenaza multifacética, que combina elementos de robo de credenciales, acceso a puertas traseras y minería de criptomonedas en un único y versátil paquete. Las campañas de este tipo siguen evolucionando, las mejores prácticas de seguridad de las API, como parchear los sistemas vulnerables y mejorar los protocolos de seguridad, son fundamentales para mitigar su impacto.

 

Las fuentes de este artículo incluyen artículos en The Hacker News y DarkReading.

 

Resumen
Commando Cat Ataca: Proteja hoy mismo las API de Docker expuestas
Nombre del artículo
Commando Cat Ataca: Proteja hoy mismo las API de Docker expuestas
Descripción
Aprenda a defenderse de los ataques Commando Cat dirigidos a API de Docker expuestas. Manténgase seguro y proteja sus sistemas frente a las ciberamenazas.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín