Cybercriminali stanno prendendo di mira server mal configurati che eseguono Apache Hadoop YARN, Docker, Confluence o Redis utilizzando un nuovo malware basato su Golang che automatizza la scoperta e il compromesso degli host. Le armi utilizzate nella campagna sfruttano debolezze di configurazione e una vecchia vulnerabilità in Atlassian Confluence per eseguire codice sulla macchina.
Ricercatori di Cado Security hanno scoperto la campagna e analizzato i payload utilizzati negli attacchi, tra cui script bash e binari ELF Golang. Questo insieme di intrusioni è simile ad attacchi cloud precedentemente segnalati, alcuni attribuiti ad attori di minaccia come TeamTNT, WatchDog e Kiss-a-Dog.
L’attacco è stato investigato dopo un allarme di accesso iniziale su un honeypot dell’API Docker Engine, con la creazione di un nuovo contenitore basato su Alpine Linux sul server. Gli attaccanti si affidano a diversi script shell e tecniche comuni di attacco Linux per installare un miner di criptovalute, stabilire persistenza e configurare un reverse shell.
Malware Golang per la scoperta dei Target
Gli hacker distribuiscono quattro nuovi payload Golang responsabili dell’identificazione e dell’exploitazione di host che eseguono servizi per Hadoop YARN ( h.sh ), Docker ( d.sh ), Confluence ( w.sh ) e Redis ( c.sh ). Questi payload, nonostante siano binari ELF Golang a 64 bit, sembrano tentare di mascherarsi come script bash.
I tool Golang vengono utilizzati per scansionare segmenti di rete alla ricerca di porte aperte 2375, 8088, 8090 o 6379, tipiche dei servizi target di questa campagna. In particolare, il payload “w.sh” cerca server Confluence e sfrutta una vulnerabilità critica (CVE-2022-26134) che permette l’esecuzione remota di codice senza autenticazione.
Un altro payload Golang, “fkoths”, rimuove le tracce dell’accesso iniziale eliminando le immagini Docker dai repository di Ubuntu o Alpine. Uno script shell più ampio, “ar.sh”, viene utilizzato per approfondire il compromesso, impedire attività forensi sull’host e recuperare payload aggiuntivi, inclusa l’applicazione di mining XMRig per la criptovaluta Monero.
Nonostante la maggior parte dei payload nella campagna siano riconosciuti come malevoli dagli antivirus su Virus Total, i quattro binari Golang per la scoperta dei servizi target sono praticamente non rilevati. Questo evidenzia l’importanza di mantenere sistemi aggiornati e configurazioni sicure per proteggersi da tali minacce sofisticate.