Investigadores de Trend Micro han identificado una campaña maliciosa que utiliza el servicio de almacenamiento de objetos (OSS) de Alibaba Cloud (también conocido como Aliyun) para la distribución de malware y actividades ilícitas de minería de criptomonedas mediante el uso de esteganografía.
El OSS es un servicio que permite a los clientes de Alibaba Cloud almacenar en la nube datos como imágenes de aplicaciones web e información de copias de seguridad.
No es la primera vez que vemos a actores maliciosos lanzar ataques contra la infraestructura de Alibaba Cloud con fines de criptojacking.
El papel de la esteganografía en la distribución del malware en los cubos de OSS explotados
Los investigadores verificaron cómo los actores maliciosos cargaban imágenes que contenían un script de shell incrustado en imágenes almacenadas en los cubos de OSS comprometidos utilizando técnicas de esteganografía.
El shell script malicioso incrustado dentro de un archivo PNG
Los autores del malware utilizan el programa de utilidad de línea de comandos Unix dd para extraer el script de shell malicioso una vez finalizada la descarga.
Los scripts maliciosos apuntan a instancias de Redis mal configuradas para minar Monero
El propio payload minaba Monero de forma ilícita utilizando XMRig, un minero de Monero de código abierto y multiplataforma. La campaña utilizaba el pool xmr-asia1[.]nanopool[.]org.
Los scripts de shell maliciosos también se dirigían a instancias de Redis mal configuradas, de las que se puede abusar para realizar una ejecución remota de código (RCE). Esto es similar a lo que han hecho en el pasado varios actores de amenazas involucrados en una competición de criptojacking (como TeamTNT y Kinsing).
Más información:
Deja una respuesta