terça-feira, outubro 8, 2024
Tecnologia

Malware para Linux mira servidor em nuvem mal configurado – CISO Advisor

Tabloide Paulista

Ransomware cresceu 71% no ano passado
Primeiro exercício de um incidente em I.A.
Seguradora dos EUA investiga invasão de servidor
Backdoor em 16 roteadores D-Link, alerta TWCERT
Hacker conta como invadiu 165 contas da Snowflake
C2 oculta comandos em emojis do Discord
Preso na Espanha suspeito de ataque ao MGM
Ransomware cresceu 71% no ano passado
Primeiro exercício de um incidente em I.A.
Seguradora dos EUA investiga invasão de servidor
Backdoor em 16 roteadores D-Link, alerta TWCERT
Hacker conta como invadiu 165 contas da Snowflake
C2 oculta comandos em emojis do Discord
Preso na Espanha suspeito de ataque ao MGM
Uma campanha de cryptojacking (invasão de computador para minerar criptomoeda) envolvendo malware Linux tem como alvo instâncias mal configuradas de Apache Hadoop, Confluence, Docker e Redis com cargas maliciosas novas e exclusivas, alerta a empresa de segurança cibernética Cado Security.
Como parte da campanha, os invasores empregam quatro novas cargas de linguagem Golang para automatizar a descoberta e exploração de hosts vulneráveis, bem como um shell reverso e vários rootkits de modo de usuário para ocultar sua presença.
Em ataques direcionados ao Docker, os agentes da ameaça usaram um comando para gerar um novo contêiner e criaram uma montagem de ligação para o diretório raiz do servidor que lhes permitiu escrever um executável usado para estabelecer uma conexão com o comando e controle (C&C) dos invasores e para recuperar uma carga útil de primeiro estágio dele. A carga útil é um script de shell que pode definir um C&C hospedando cargas adicionais, verificar a existência de um utilitário e renomeá-lo, instalar e renomear o utilitário se ele não existir e determinar se o acesso root está disponível e buscar uma carga útil com base nisso.
Veja isso
Sistemas Linux sob risco de invasão com falha no Shim
Versão Linux do ransomware Qilin se concentra no VMware ESXi
Os invasores também foram vistos implantando um segundo script de shell para a entrega de um minerador XMRig, um script e vários utilitários, incluindo ‘masscan’ para descoberta de host. O shell script também exclui o histórico do shell e enfraquece a máquina ao desabilitar o SELinux e outras funções e ao desinstalar agentes de monitoramento.
O script também foi detectado implantando os rootkits de modo de usuário ‘libprocesshider’ e ‘diamorphine’ para ocultar processos maliciosos. O uso desses rootkits se assemelha a uma campanha de malware Migo observada recentemente visando servidores Redis.
As cargas Golang implantadas nesses ataques permitem que os invasores procurem imagens Docker nos repositórios Ubuntu ou Alpine e as excluam, além de identificar e explorar instâncias mal configuradas ou vulneráveis de Hadoop, Confluence, Docker e Redis expostas à internet.
Em ataques direcionados aos servidores Confluence, os operadores da ameaça foram vistos explorando CVE-2022-26134, uma falha crítica de execução remota de código corrigida em junho de 2022, quando já era explorada como dia zero.
Para ter acesso ao relatório completo da Cado (em inglês) clique aqui.

source

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

WP Twitter Auto Publish Powered By : XYZScripts.com