Исследователи из Cado Security Labs (ныне в составе Darktrace) обнаружили новую сложную вредоносную кампанию под названием "Spinning YARN", нацеленную на неправильно сконфигурированные серверы, работающие с Docker, Apache Hadoop YARN, Redis и Confluence. Кампания использует как распространённые ошибки конфигурации, так и эксплуатацию уязвимости CVE-2022-26134 в Confluence для достижения удалённого выполнения кода (RCE).
Описание
Атака начинается с получения доступа к Docker Engine API, где злоумышленники создают контейнер на базе Alpine Linux с монтированием корневой файловой системы хоста. Это позволяет им записать на хост исполняемый файл /usr/bin/vurl и настроить задание Cron для автоматической загрузки и выполнения первой стадии полезной нагрузки - скрипта cronb.sh.
Особенностью кампании является использование четырёх новых исполняемых файлов, написанных на Go (h.sh, d.sh, w.sh, c.sh), которые автоматизируют поиск и компрометацию указанных сервисов. Эти инструменты применяют сканирование сетей с помощью masscan и pnscan для идентификации хостов с открытыми портами 2375 (Docker), 8088 (Hadoop YARN), 8090 (Confluence) и 6379 (Redis).
После успешного проникновения злоумышленники развёртывают криптовалютный майнер на базе XMRig, устанавливают инструмент для сохранения доступа - открытый реверс-шелл Platypus (bioset), а также используют два пользовательских руткита (libprocesshider и diamorphine) для сокрытия вредоносных процессов. Дополнительно применяются методы противодействия анализу: отключение файрволов, очистка истории команд, блокировка доступа к Docker Hub через модификацию файла /etc/hosts.
Для обеспечения устойчивости создаются службы systemd, а наличие компрометации отмечается файлами-маркерами (/var/tmp/.dog и /etc/…/.ice-unix/.watch). Сходство методов с предыдущими кампаниями, такими как TeamTNT, WatchDog и Kiss a Dog, указывает на возможную связь с известными угрозными акторами, хотя точная атрибуция затруднена.
Обнаружение подобных сложных многоэтапных атак подчёркивает важность мониторинга конфигураций облачных сервисов, своевременного применения исправлений и использования систем обнаружения вторжений для предотвращения несанкционированного доступа.
Индикаторы компрометации
IPv4
- 107.189.31.172
- 209.141.37.110
- 47.96.69.71
URLs
- http://b.9-9-8.com
- http://b.9-9-8.com/brysj/cronb.sh
- http://b.9-9-8.com/brysj/d/ar.sh
- http://b.9-9-8.com/brysj/d/c.sh
- http://b.9-9-8.com/brysj/d/d.sh
- http://b.9-9-8.com/brysj/d/enbio.tar
- http://b.9-9-8.com/brysj/d/h.sh
SHA256
- 0c3fe24490cc86e332095ef66fe455d17f859e070cb41cbe67d2a9efe93d7ce5
- 0c7579294124ddc32775d7cf6b28af21b908123e9ea6ec2d6af01a948caf8b87
- 251501255693122e818cadc28ced1ddb0e6bf4a720fd36dbb39bc7dedface8e5
- 5a816806784f9ae4cb1564a3e07e5b5ef0aa3d568bd3d2af9bc1a0937841d174
- 64d8f887e33781bb814eaefa98dd64368da9a8d38bd9da4a76f04a23b6eb9de5
- afddbaec28b040bcbaa13decdc03c1b994d57de244befbdf2de9fe975cae50c4
- d4508f8e722f2f3ddd49023e7689d8c65389f65c871ef12e3a6635bbaeb7eb6e
- d45aca9ee44e1e510e951033f7ac72c137fc90129a7d5cd383296b6bd1e3ddb5
- e71975a72f93b134476c8183051fee827ea509b4e888e19d551a8ced6087e15c
