ClickCease Desentrañando la amenaza de la nueva campaña de malware para Docker

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Desentrañando la amenaza de la nueva campaña de malware para Docker

Rohan Timalsina

31 de enero de 2024 - Equipo de expertos TuxCare

En los últimos tiempos, los servicios Docker se han convertido en un punto focal para los actores maliciosos que buscan formas innovadoras de monetizar sus exploits. Un descubrimiento reciente de la empresa de seguridad en la nube Cado revela una nueva campaña de malware de Docker que emplea un enfoque doble, utilizando el minero de criptomoneda XMRig y el software 9Hits Viewer. Esto marca un cambio significativo en las tácticas empleadas por los adversarios, mostrando sus continuos esfuerzos para diversificar las estrategias y sacar provecho de los hosts comprometidos.

 

9Hits Viewer como carga útil de malware

 

Un aspecto llamativo de esta campaña es el despliegue de la aplicación 9Hits como carga útil. Promocionada como una "solución única de tráfico web", 9Hits se presenta a sí misma como un "intercambio automático de tráfico" en el que los miembros pueden aumentar el tráfico de su sitio web ganando créditos a través de una instancia del navegador Chrome, llamada 9Hits Viewer. Este desarrollo subraya la adaptabilidad de los actores de amenazas, siempre en busca de nuevas vías para explotar los sistemas comprometidos.

Aunque el método exacto de propagación del malware a hosts Docker vulnerables sigue sin estar claro, las sospechas apuntan a la utilización de motores de búsqueda como Shodan para identificar objetivos potenciales. Una vez identificados, los servidores se vulneran para desplegar dos contenedores maliciosos a través de la API de Docker, aprovechando imágenes de la biblioteca Docker Hub para el software 9Hits y XMRig.

 

Vector de ataque del malware de Docker

 

En lugar de optar por imágenes personalizadas, los actores de la amenaza utilizan imágenes genéricas de Docker Hub, una táctica común en las campañas dirigidas a Docker. Esta técnica garantiza que se pueda acceder a las fotos genéricas y utilizarlas para los fines de los atacantes. Al extraer una lista de sitios web para visitar y autenticarse con 9Hits utilizando el token de sesión, el contenedor 9Hits ejecuta código para producir créditos. Simultáneamente, el minero XMRig, que reside en otro contenedor, se conecta a un pool minero privado, ocultando la escala y rentabilidad de la campaña.

 

Impactos en hosts Docker comprometidos

 

Para los hosts comprometidos, esta campaña tiene efectos de gran alcance. El agotamiento de los recursos es un problema clave, ya que el minero XMRig monopoliza los recursos de CPU disponibles y 9Hits consume un ancho de banda y una memoria considerables. En los servidores dañados, las cargas de trabajo legítimas experimentan problemas de rendimiento que interfieren con las operaciones habituales. Además, existe la posibilidad de que se produzcan infracciones más graves, ya que la campaña podría evolucionar hasta dejar un shell remoto en el sistema, lo que aumentaría el riesgo de acceso no autorizado.

Proteger los entornos Docker de las amenazas en evolución, como la campaña de malware Docker comentada, es primordial. A medida que los actores de las amenazas continúan adaptando y diversificando sus tácticas, es crucial mantenerse informado e implementar medidas de seguridad robustas. Las organizaciones deben permanecer vigilantes, actualizar y parchear los sistemas con regularidad y emplear las mejores prácticas de seguridad para fortalecer sus entornos Docker frente a las amenazas emergentes.

 

Las fuentes de este artículo incluyen una historia de TheHackerNews.

Resumen
Desentrañando la amenaza de la nueva campaña de malware para Docker
Nombre del artículo
Desentrañando la amenaza de la nueva campaña de malware para Docker
Descripción
Descubra la última amenaza de malware para Docker. Descubra cómo se explotan los servicios vulnerables de Docker con el minero de criptomonedas XMRig y 9Hits Viewer.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín