Desentrañando la amenaza de la nueva campaña de malware para Docker
En los últimos tiempos, los servicios Docker se han convertido en un punto focal para los actores maliciosos que buscan formas innovadoras de monetizar sus exploits. Un descubrimiento reciente de la empresa de seguridad en la nube Cado revela una nueva campaña de malware de Docker que emplea un enfoque doble, utilizando el minero de criptomoneda XMRig y el software 9Hits Viewer. Esto marca un cambio significativo en las tácticas empleadas por los adversarios, mostrando sus continuos esfuerzos para diversificar las estrategias y sacar provecho de los hosts comprometidos.
9Hits Viewer como carga útil de malware
Un aspecto llamativo de esta campaña es el despliegue de la aplicación 9Hits como carga útil. Promocionada como una "solución única de tráfico web", 9Hits se presenta a sí misma como un "intercambio automático de tráfico" en el que los miembros pueden aumentar el tráfico de su sitio web ganando créditos a través de una instancia del navegador Chrome, llamada 9Hits Viewer. Este desarrollo subraya la adaptabilidad de los actores de amenazas, siempre en busca de nuevas vías para explotar los sistemas comprometidos.
Aunque el método exacto de propagación del malware a hosts Docker vulnerables sigue sin estar claro, las sospechas apuntan a la utilización de motores de búsqueda como Shodan para identificar objetivos potenciales. Una vez identificados, los servidores se vulneran para desplegar dos contenedores maliciosos a través de la API de Docker, aprovechando imágenes de la biblioteca Docker Hub para el software 9Hits y XMRig.
Vector de ataque del malware de Docker
En lugar de optar por imágenes personalizadas, los actores de la amenaza utilizan imágenes genéricas de Docker Hub, una táctica común en las campañas dirigidas a Docker. Esta técnica garantiza que se pueda acceder a las fotos genéricas y utilizarlas para los fines de los atacantes. Al extraer una lista de sitios web para visitar y autenticarse con 9Hits utilizando el token de sesión, el contenedor 9Hits ejecuta código para producir créditos. Simultáneamente, el minero XMRig, que reside en otro contenedor, se conecta a un pool minero privado, ocultando la escala y rentabilidad de la campaña.
Impactos en hosts Docker comprometidos
Para los hosts comprometidos, esta campaña tiene efectos de gran alcance. El agotamiento de los recursos es un problema clave, ya que el minero XMRig monopoliza los recursos de CPU disponibles y 9Hits consume un ancho de banda y una memoria considerables. En los servidores dañados, las cargas de trabajo legítimas experimentan problemas de rendimiento que interfieren con las operaciones habituales. Además, existe la posibilidad de que se produzcan infracciones más graves, ya que la campaña podría evolucionar hasta dejar un shell remoto en el sistema, lo que aumentaría el riesgo de acceso no autorizado.
Proteger los entornos Docker de las amenazas en evolución, como la campaña de malware Docker comentada, es primordial. A medida que los actores de las amenazas continúan adaptando y diversificando sus tácticas, es crucial mantenerse informado e implementar medidas de seguridad robustas. Las organizaciones deben permanecer vigilantes, actualizar y parchear los sistemas con regularidad y emplear las mejores prácticas de seguridad para fortalecer sus entornos Docker frente a las amenazas emergentes.
Las fuentes de este artículo incluyen una historia de TheHackerNews.