Les pirates ciblent des serveurs mal configurés exécutant Apache Hadoop YARN, Docker, Confluence ou Redis avec de nouveaux logiciels malveillants basés sur Golang qui automatisent la découverte et la compromission des hôtes.
Les outils malveillants utilisés dans la campagne tirent parti des faiblesses de configuration et exploitent une ancienne vulnérabilité dans Atlassian Confluence pour exécuter du code sur la machine.
Des chercheurs de la société de criminalistique cloud et de réponse aux incidents Cado Security ont découvert la campagne et analysé les charges utiles utilisées dans les attaques, les scripts bash et les binaires Golang ELF.
Les chercheurs notent que l’ensemble d’intrusions est similaire aux attaques cloud précédemment signalées, certaines d’entre elles attribuées à des acteurs de la menace tels que TeamTNT, WatchDog et Kiss-a-Dog.
Ils ont commencé à enquêter sur l’attaque après avoir reçu une alerte d’accès initiale sur un pot de miel d’API Docker Engine, avec un nouveau conteneur basé sur Alpine Linux généré sur le serveur.
Pour les étapes suivantes, l’auteur de la menace s’appuie sur plusieurs scripts shell et des techniques d’attaque Linux courantes pour installer un mineur de crypto-monnaie, établir la persistance et configurer un shell inversé.
Nouveau malware Golang pour la découverte de cibles
Selon les chercheurs, les pirates déploient un ensemble de quatre nouvelles charges utiles Golang chargées d’identifier et d’exploiter les hôtes exécutant des services pour Hadoop YARN (h.sh), Menu fixe (d.sh), Confluence (w.sh), et Redis (c.sh).
Les noms des charges utiles sont probablement une mauvaise tentative de les déguiser en scripts bash. Cependant, ce sont des binaires Golang ELF 64 bits.
« Fait intéressant, le développeur de logiciels malveillants a négligé de supprimer les binaires, laissant intactes les informations de débogage NAINES. Aucun effort n’a été fait pour obscurcir les chaînes ou autres données sensibles dans les binaires, ce qui les rend faciles à désosser » – Cado Security
Les pirates utilisent les outils Golang pour analyser un segment de réseau à la recherche de ports ouverts 2375, 8088, 8090 ou 6379, qui sont ceux par défaut pour les cibles de cette campagne.
Dans le cas de “w.sh, » après avoir découvert une adresse IP pour un serveur Confluence, il récupère un exploit pour CVE-2022-26134, une vulnérabilité critique qui permet aux attaquants distants d’exécuter du code sans avoir besoin de s’authentifier.
Une autre charge utile Golang découverte s’appelle « fkoths » et sa tâche consiste à supprimer les traces de l’accès initial en supprimant les images Docker des référentiels Ubuntu ou Alpine.
Cado Security a découvert que l’attaquant utilisait un script shell plus volumineux appelé “ar.sh » pour favoriser leur compromission, empêchez les activités médico-légales sur l’hôte et récupérez des charges utiles supplémentaires, y compris la populaire application d’extraction XMRig pour la crypto-monnaie Monero.
Le script ajoute également une clé SSH qui permet à l’attaquant de conserver l’accès au système infecté, récupère l’ornithorynque du shell inversé basé sur Golang et recherche les clés SSH et les adresses IP associées.
Alors que la plupart des charges utiles de la campagne sont largement signalées comme malveillantes par les moteurs antivirus de la plate-forme d’analyse Virus Total, les quatre binaires Golang pour découvrir les services cibles ne sont pratiquement pas détectés.
Deux des charges utiles, w.sh et c.sh, sont détectés par moins de 10 moteurs antivirus sur la plateforme et la date de soumission la plus proche est le 11 décembre 2023, ce qui peut faire allusion au début de la campagne. Les deux autres ne sont pas détectés sur la plate-forme.
Cado Security a partagé une analyse technique pour toutes les charges utiles découvertes dans la campagne ainsi que les indicateurs de compromission associés.