Commando Cat Campaign IOC

security IOC

Исследователи Cado обнаружили новую кампанию вредоносного ПО под названием "Commando Cat", нацеленную на открытые конечные точки Docker API. Кампания представляет собой криптоджекинг, использующий Docker в качестве вектора первоначального доступа и монтирующий файловую систему хоста перед запуском серии взаимозависимых полезных нагрузок непосредственно на хосте. Полезная нагрузка доставляется на открытые экземпляры API Docker через Интернет.

Злоумышленник дает команду Docker загрузить образ Docker под названием cmd.cat/chattr. Проект cmd.cat "генерирует образы Docker по требованию со всеми необходимыми командами и просто указывает их по имени в команде docker run". Скорее всего, злоумышленник использует его, чтобы казаться доброкачественным инструментом и не вызывать подозрений.

Затем злоумышленник создает контейнер с пользовательской командой для выполнения. Основная цель полезной нагрузки user.sh - создание бэкдора в системе путем добавления SSH-ключа к учетной записи root, а также добавления пользователя с известным злоумышленнику паролем. Скрипт tshd.sh отвечает за развертывание TinyShell (tsh), бэкдора для Unix с открытым исходным кодом, написанного на C. Скрипт gsc.sh отвечает за развертывание бэкдора под названием gs-netcat, усовершенствованной версии netcat, способной пробивать NAT и брандмауэры. Скрипт aws.sh представляет собой граббер учетных данных, который извлекает учетные данные из ряда файлов на диске, а также IMDS и переменных окружения. Конечная полезная нагрузка передается в виде скрипта, закодированного в base64, а не традиционным методом curl-into-bash, который ранее использовался вредоносным ПО. Этот base64 передается эхом в base64 -d, а затем передается в bash.

Indicators of Compromise

IPv4

  • 103.127.43.208
  • 45.9.148.193

Domains

  • yip.su

MD5

  • 25c00d4b69edeef1518f892eff918c2c
  • 5ea102a58899b4f446bb0a68cd132c1d
  • ec2882928712e0834a8574807473752a

SHA256

  • 185564f59b6c849a847b4aa40acd9969253124f63ba772fc5e3ae9dc2a50eef0
  • 65c6798eedd33aa36d77432b2ba7ef45dfe760092810b4db487210b19299bdcb
  • d083af05de4a45b44f470939bb8e9ccd223e6b8bf4568d9d15edfb3182a7a712
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий