Исследователи Cado обнаружили новую кампанию вредоносного ПО под названием "Commando Cat", нацеленную на открытые конечные точки Docker API. Кампания представляет собой криптоджекинг, использующий Docker в качестве вектора первоначального доступа и монтирующий файловую систему хоста перед запуском серии взаимозависимых полезных нагрузок непосредственно на хосте. Полезная нагрузка доставляется на открытые экземпляры API Docker через Интернет.
Злоумышленник дает команду Docker загрузить образ Docker под названием cmd.cat/chattr. Проект cmd.cat "генерирует образы Docker по требованию со всеми необходимыми командами и просто указывает их по имени в команде docker run". Скорее всего, злоумышленник использует его, чтобы казаться доброкачественным инструментом и не вызывать подозрений.
Затем злоумышленник создает контейнер с пользовательской командой для выполнения. Основная цель полезной нагрузки user.sh - создание бэкдора в системе путем добавления SSH-ключа к учетной записи root, а также добавления пользователя с известным злоумышленнику паролем. Скрипт tshd.sh отвечает за развертывание TinyShell (tsh), бэкдора для Unix с открытым исходным кодом, написанного на C. Скрипт gsc.sh отвечает за развертывание бэкдора под названием gs-netcat, усовершенствованной версии netcat, способной пробивать NAT и брандмауэры. Скрипт aws.sh представляет собой граббер учетных данных, который извлекает учетные данные из ряда файлов на диске, а также IMDS и переменных окружения. Конечная полезная нагрузка передается в виде скрипта, закодированного в base64, а не традиционным методом curl-into-bash, который ранее использовался вредоносным ПО. Этот base64 передается эхом в base64 -d, а затем передается в bash.
Indicators of Compromise
IPv4
- 103.127.43.208
- 45.9.148.193
Domains
- yip.su
MD5
- 25c00d4b69edeef1518f892eff918c2c
- 5ea102a58899b4f446bb0a68cd132c1d
- ec2882928712e0834a8574807473752a
SHA256
- 185564f59b6c849a847b4aa40acd9969253124f63ba772fc5e3ae9dc2a50eef0
- 65c6798eedd33aa36d77432b2ba7ef45dfe760092810b4db487210b19299bdcb
- d083af05de4a45b44f470939bb8e9ccd223e6b8bf4568d9d15edfb3182a7a712