Docker Swarm y Kubernetes son herramientas de orquestación de contenedores, pero sirven para diferentes casos de uso. Puede utilizar un servidor SSH con estas herramientas de orquestación para administrar y proteger el acceso remoto a los nodos de su clúster.
Los investigadores de DataDog Security Lab identificaron recientemente que los piratas informáticos están explotando activamente los servidores Docker Swarm, Kubernetes y SSH a escala.
La campaña de malware recientemente descubierta se centra en los entornos 'Docker' y 'Kubernetes', utilizando vulnerabilidades en el punto final 'Docker API' como un 'vector de acceso inicial'.
Hackers explotan servidores a escala
Los atacantes instalan “software de minería de criptomonedas” en contenedores comprometidos y lanzan ataques laterales secundarios desde allí.
Estas cargas útiles maliciosas se dirigen a la API kubelet de Kubernetes, lo que permite a los atacantes escalar más recursos e implementar más virus. Esta campaña también se basa en Docker Hub para compartir malware.
El nombre de usuario del repositorio malicioso existe con el nombre “nmlmweb3”.
Analice enlaces sospechosos utilizando la nueva herramienta de navegación segura de ANY.RUN: pruébela gratis
El atacante inicia la secuencia emitiendo un comando a la API de Docker expuesta, creando un “contenedor Alpine” y ejecutando un “script de inicialización” (“init.sh”).
El script instala el “minero XMRig”, aplica “técnicas de ocultación de procesos” y “obtiene cargas útiles adicionales”.
El movimiento lateral se habilita mediante scripts para Kubernetes, kube.larate.sh, Docker, spread_docker_local.sh y SSH, spread_ssh.sh.
Además de escanear utilizando varias herramientas como 'masscan' y 'zgrab', el malware también escanea la red en busca de puntos finales vulnerables.
El malware valida el contexto en el que se implementa el programa de minería. Cierra “funciones de seguridad”, “agrega programas de minería” e “intenta propagarse a otras máquinas”.
La campaña se extiende aún más al uso de servicios en la nube por parte de los perpetradores, con GitHub y Codespaces igualmente enfocados y buscados en busca de archivos de credenciales.
Flujo de ataque (Fuente: DATADOG Security Labs)
A lo largo del ataque, el malware utiliza numerosas “técnicas de evasión” e intenta implementar varias estrategias para mantener “mecanismos de persistencia”.
En este incidente, los atacantes adoptaron un “enfoque de varios pasos” y obtuvieron acceso explotando el primer “punto final de Docker API” expuesto.
Luego implementó varias cargas maliciosas como 'init.sh', 'kube.ternate.sh' y 'setup_xmr.sh' para facilitar el 'movimiento lateral' y el 'secuestro de recursos'.
El objetivo principal era el “criptojacking”, que implicaba extraer la “criptomoneda Monero” utilizando el minero XMRig. Los atacantes demostraron una táctica sofisticada de manipular un “Docker Swarm” para crear una red similar a una botnet de sistemas comprometidos.
Los scripts como 'ar.sh' y 'pdflushs.sh' también se utilizan para la persistencia para 'modificar las reglas de iptables', 'ajustar la configuración del sistema' e 'instalar la puerta trasera SSH'.
Esta campaña demostró técnicas de evasión avanzadas, incluido el uso de 'libprocesshider' para ocultar procesos maliciosos.
El análisis de infraestructura reveló conectividad con solscan(. )live, un dominio utilizado para comando y control (C2) y entrega de carga útil.
Algunas tácticas son consistentes con el conocido grupo de amenazas TeamTNT. Sin embargo, incluso en este caso, la atribución final sigue siendo “incierta”.
Este ataque demuestra la necesidad de medidas de seguridad sólidas para proteger las implementaciones de Docker y Kubernetes.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Seminario web gratuito
Hackers Exploiting Docker Swarm, Kubernetes & SSH Servers In Large Scale
