En una reciente campaña detectada por Cado Security, se ha revelado un ataque dirigido a servicios Docker vulnerables que implementa un minero XMRig y la aplicación 9hits viewer en hosts comprometidos, permitiendo una estrategia de doble monetización.
La plataforma 9hits es conocida por ser un intercambio de tráfico web, donde los miembros pueden dirigir tráfico a los sitios de otros usuarios. En este caso, los atacantes instalan la aplicación 9hits viewer en hosts Docker comprometidos para generar créditos fraudulentos, explotando los recursos de estos sistemas para dirigir tráfico como parte del sistema de intercambio de tráfico de 9hits.
Esta es la primera vez que se documenta el despliegue de la aplicación 9hits como carga útil maliciosa.
Aunque no está claro cómo los actores de amenazas encuentran sistemas vulnerables, Cado sugiere que probablemente utilizan herramientas de escaneo de red como Shodan para descubrir servidores vulnerables y comprometerlos mediante la implementación de contenedores maliciosos a través de la API de Docker.
Los contenedores utilizan imágenes de Dockerhub para reducir la sospecha. El script propagador utilizado en la trampa de Docker de Cado utiliza la interfaz de línea de comandos de Docker para establecer la variable DOCKER_HOST y realizar llamadas típicas a la API para extraer y ejecutar los contenedores.
El contenedor de 9hits ejecuta un script (nh.sh) con un token de sesión, permitiéndole autenticarse y generar créditos para el atacante al visitar una lista de sitios web.
El sistema de token de sesión está diseñado para operar de manera segura incluso en entornos no confiables, permitiendo que el atacante obtenga ganancias sin riesgo de ser prohibido.
El otro contenedor ejecuta un minero XMRig que extrae la criptomoneda Monero para el atacante, utilizando los recursos del sistema en la nube.
El minero se conecta a un grupo de minería privado, haciendo que sea imposible rastrear la escala o las ganancias de la campaña. Cado señala que el dominio utilizado para el grupo de minería sugiere que el atacante podría utilizar servicios de DNS dinámicos para mantener el control.
El impacto principal de esta campaña en los hosts comprometidos es el agotamiento de recursos, ya que el minero XMRig utiliza todos los recursos de la CPU disponibles, mientras que 9hits consume una gran cantidad de ancho de banda, memoria y la poca CPU restante.
Cado Security destaca que esta campaña demuestra que los actores de amenazas están explorando constantemente canales de monetización alternativos más allá de los métodos tradicionales como la minería de criptomonedas, diversificando sus ataques y buscando vías más encubiertas.
Se hace un llamado a plataformas abusadas por actores de amenazas, como 9hits, para implementar controles de seguridad más estrictos y políticas que eviten el uso no autorizado de sus aplicaciones, lo que puede causar daños financieros y interrupciones en las organizaciones.
Las entidades que invierten en entornos de computación en la nube son instadas a navegar por un paisaje complicado, utilizando modelos de confianza cero, Plataformas de Protección de Cargas de Trabajo en la Nube (CWPP) y Gestión de Postura de Seguridad en la Nube (CSPM) para mejorar la visibilidad, gestionar configuraciones y proteger los activos expuestos.