Commando Cat Cryptojacking: Un Attacco Sofisticato alle API Docker Esposte
Un nuovo pericoloso attacco di cryptojacking, denominato Commando Cat, ha preso di mira le vulnerabili API Docker esposte su Internet. Secondo i ricercatori di sicurezza di Cado, questa campagna è attiva dal principio del 2024, rappresentando il secondo attacco di questo tipo scoperto in pochi mesi.
La campagna Commando Cat utilizza Docker come vettore di accesso iniziale per distribuire una serie di payload interdipendenti da un server controllato dagli attaccanti. Questi payload comprendono la registrazione della persistenza, la creazione di backdoor sull’host, l’esfiltrazione delle credenziali del provider di servizi cloud (CSP) e l’avvio di un miner di criptovaluta.
L’accesso ottenuto violando le istanze Docker vulnerabili viene successivamente sfruttato per distribuire un contenitore apparentemente inoffensivo utilizzando lo strumento open-source Commando. Successivamente, viene eseguito un comando malevolo che consente al malware di eludere i limiti del contenitore attraverso il comando chroot.
Il malware esegue una serie di controlli per verificare se i servizi denominati “sys-kernel-debugger”, “gsc”, “c3pool_miner” e “dockercache” sono attivi sul sistema compromesso, procedendo alla fase successiva solo se questo passaggio viene superato.
La fase successiva implica il rilascio di payload aggiuntivi dal server di comando e controllo (C2), tra cui una backdoor a script shell (user.sh) in grado di aggiungere una chiave SSH al file ~/.ssh/authorized_keys e creare un utente fraudolento chiamato “games” con una password conosciuta dagli attaccanti, inclusa nel file /etc/sudoers.
Sono anche consegnati in modo simile altri tre script shell: tshd.sh, gsc.sh, aws.sh, progettati per rilasciare Tiny SHell, una versione migliorata di netcat chiamata gs-netcat e esfiltrare credenziali e variabili d’ambiente, rispettivamente.
L’attacco culmina con il rilascio di un altro payload che viene fornito direttamente come script codificato in Base64 anziché essere recuperato dal server C2, il quale a sua volta rilascia il miner di criptovaluta XMRig, eliminando prima i processi di mineraggio concorrenti dalla macchina infetta.
Attualmente, le origini esatte del gruppo minaccioso dietro Commando Cat non sono chiare, anche se gli script shell e l’indirizzo IP C2 sono stati osservati sovrapporsi a quelli collegati a gruppi di cryptojacking come TeamTNT in passato, suggerendo la possibilità che possa trattarsi di un gruppo imitatore.
Il malware funge da ruba-credenziali, backdoor altamente furtiva e miner di criptovaluta, tutto in uno. Ciò lo rende versatile e in grado di estrarre il massimo valore dalle macchine infette. La scoperta sottolinea l’importanza di una monitoraggio costante e di pratiche di sicurezza avanzate per proteggere le risorse digitali.