• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Docker objetivo de operaciones de minado de criptomonedas

Docker objetivo de operaciones de minado de criptomonedas

26 abril, 2022 Por Antonio Tascón Deja un comentario

LemonDuck, una banda conocida por explotar servidores Windows para realizar operaciones de minado de criptomonedas, está ampliando su botnet aprovechando contenedores de Docker en infraestructuras cloud.

En sus objetivos Windows, LemonDuck explota servidores de Microsoft Exchange mediante la vulnerabilidad Proxylogon. Una vez conseguido el acceso, EternalBlue, Bluekeep y otras vulnerabilidades son usadas para escalar privilegios, realizar movimientos laterales y establecer el propio minado de criptomonedas.

Proceso del ataque a Docker

Para conseguir el acceso inicial, LemonDuck está usando APIs expuestas de docker. Una vez con acceso a esta, se crea un contenedor malicioso que descarga un script de bash camuflado como una imagen de nombre ‘core.png‘. Éste configura un cronjob que descarga otro fichero, ‘a.asp‘, otro script de bash que realiza múltiples operaciones antes de configurar el proceso de minado.

Primero, elimina cualquier actividad de minado existente por parte de otros grupos. Acto seguido deshabilita el servicio de monitorización de Alibaba para evitar que se descubra la actividad maliciosa. Finalmente, descarga el sistema de minado XMRig, configurado con un pool de proxies que oculta la dirección real del wallet que almacena las criptomonedas extraídas.

script de bash para eliminar la protección de aliyun en Docker
Fragmento del script que deshabilita el servicio de monitorización de Aliyun.

Para la expansión de su botnet, LemonDuck busca claves SSH dentro del sistema de ficheros. Estas claves se usan para obtener acceso a otros servidores en los que se realiza el mismo proceso de instalación del sistema de minado.

El archivo con el que comienza el proceso, ‘core.png‘, es descargado desde el dominio t.m7n0y[.]com, asociado a LemonDuck. Es común que los atacantes usen un servidor de control por cada campaña. LemonDuck, por contra, está utilizando un mismo servidor para múltiples ataques, tanto contra Windows cómo contra Linux. A continuación se muestran distintas URLs maliciosas relacionadas con este dominio.

urls relacionadas con el dominio usado por LemonDuck, virustotal
URLs relacionadas con el servidor de comando y control.

Más información:

https://www.crowdstrike.com/blog/lemonduck-botnet-targets-docker-for-cryptomining-operations/

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Malware en Android

Machine Learning aplicado a Ciberseguridad

Técnicas de Análisis Forense

Publicado en: General

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Cisco afectada por ransomware Yanluowang
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance

Entradas recientes

  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance
  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...