Campaña Silentbob: entornos nativos de la nube bajo ataque

Los investigadores de ciberseguridad han descubierto una infraestructura de ataque que se está utilizando como parte de una "campaña potencialmente masiva" contra entornos nativos de la nube.

"Esta infraestructura se encuentra en las primeras etapas de prueba y despliegue, y es principalmente consistente en un gusano de nube agresivo, diseñado para implementarse en las API expuestas de JupyterLab y Docker para implementar malware Tsunami, secuestro de credenciales en la nube, secuestro de recursos y una mayor infestación del gusano", dijo la firma de seguridad en la nube Aqua.

Se dice que la actividad, denominada Silentbob en referencia a un dominio AnonDNS configurado por el atacante, está vinculada al infame grupo de cryptojacking rastreado como TeamTNT, citando superposiciones en tácticas, técnicas y procedimientos (TTP). Sin embargo, no se ha descartado la participación de un "imitador avanzado".

La investigación de Aqua se inició después de un ataque dirigido a su honeypot a principios de junio de 2023, lo que llevó al descubrimiento de cuatro imágenes de contenedores maliciosos que están diseñadas para detectar instancias expuestas de Docker y Jupyter Lab e implementar un minero de criptomonedas, así como la puerta trasera de Tsunami.

Esta hazaña se logra mediante un script de shell que está programado para iniciarse cuando se inicia el contenedor y se utiliza para implementar el escáner ZGrab basado en Go para localizar servidores mal configurados. Desde entonces, Docker ha eliminado las imágenes del registro público. La lista de imágenes está a continuación -

• ShanidMk/JLTrT2 (44 tirones)
• ShanidMk/JLTEST (8 pulls)
• ShanidMk/sysapp (11 pulls)
• ShanidMk/Blob (29 tirones)

El contenedor también descarga un archivo denominado "aws.sh.txt", un script que probablemente esté diseñado para analizar sistemáticamente el entorno en busca de claves de AWS para su posterior exfiltración.

Aqua dijo que encontró 51 servidores con instancias expuestas de JupyterLab en la naturaleza, todos los cuales han sido explotados activamente o han mostrado signos de explotación por parte de actores de amenazas. Esto incluye un "ataque manual en vivo en uno de los servidores que emplearon masscan para buscar API de Docker expuestas".

"Inicialmente, el atacante identifica un servidor mal configurado (ya sea Docker API o JupyterLab) y despliega un contenedor o se involucra con la interfaz de línea de comandos (CLI) para buscar e identificar víctimas adicionales", dijeron los investigadores de seguridad Ofek Itach y Assaf Morag.

"Este proceso está diseñado para propagar el malware a un número creciente de servidores. La carga útil secundaria de este ataque incluye un criptominero y una puerta trasera, esta última empleando el malware Tsunami como su arma de elección.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta