Автоматизация и неотслеживаемые инструменты значительно повышают шансы хакеров на успех.
В последнее время киберэксперты по всему миру фиксируют участившиеся атаки хакеров на облачные серверы с неправильной конфигурацией, работающие на Apache Hadoop, Docker, Confluence и Redis.
В одной из таких недавних атак злоумышленники использовали новое вредоносное ПО на базе Golang для автоматизации поиска уязвимых хостов и их дальнейшей компрометации.
Компания Cado Security, специализирующаяся на облачной криминалистике и реагировании на инциденты, обнаружила вредоносную операцию, в ходе которой использовались специальные утилиты для эксплуатации уязвимостей и выполнения произвольного кода.
Инструментарий, использованный хакерами, напомнил исследователям о предшествующих операциях, во многом схожих с облачными зловредными кампаниями TeamTNT, WatchDog и Kiss-a-Dog .
Цели для атаки выбираются путём сканирования открытых портов 2375, 8088, 8090 или 6379, которые являются портами по умолчанию для вышеперечисленного софта.
Эксперты Cado Security выявили описанную ими атаку после того, как получили предупреждение о попытке доступа к API Honeypot-системы Docker Engine, при этом на сервере был создан новый контейнер на базе Alpine Linux.
Для дальнейших действий злоумышленники использовали несколько Shell-скриптов и весьма общие техники атак на Linux для установки майнера криптовалюты, обеспечения постоянства и настройки Reverse Shell.
В рассмотренной атаке хакеры развернули набор из четырёх полезных нагрузок Golang, которые отвечают за идентификацию и использование хостов, на которых запущены службы для Hadoop YARN (h.sh), Docker (d.sh), Confluence (w.sh) и Redis (c.sh).
Названия полезных нагрузок, вероятно, являются неудачной попыткой замаскировать их под bash-скрипты. Однако на самом деле — это 64-разрядные двоичные ELF-файлы Golang.
«Интересно, что разработчик вредоносного ПО забыл удалить двоичные файлы, оставив отладочную информацию DWARF нетронутой. Также не было предпринято никаких усилий для обфускации строк или других конфиденциальных данных внутри двоичных файлов, что делает их реверс-инжиниринг довольно простой задачей», — отметили эксперты Cado Security.
В атаке также использовались и другие полезные нагрузки, целью которых было удаление следов первоначального доступа и затруднение расследования.
Несмотря на то, что большинство полезных нагрузок в кампании активно обнаруживается антивирусными движками на платформе Virus Total, четыре вышеописанных двоичных файла на Golang ими практически не идентифицируются.
Как можно понять из рассмотренной вредоносной операции, облачные сервисы и системы с неправильной конфигурацией всё чаще становятся лёгкими целями для киберпреступников, использующих вредоносное ПО для автоматизации атак.
Компаниям необходимо уделять пристальное внимание безопасности своих облачных ресурсов, регулярно проверять конфигурации на предмет уязвимостей и своевременно устанавливать обновления безопасности, чтобы защитить свою инфраструктуру от подобных киберугроз.
Гравитация научных фактов сильнее, чем вы думаете