{"id":19689,"date":"2022-11-04T11:13:19","date_gmt":"2022-11-04T14:13:19","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19689"},"modified":"2022-11-04T11:13:21","modified_gmt":"2022-11-04T14:13:21","slug":"cryptojacking-visando-instancias-vulneraveis-do-docker-e-do-kubernetes","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/11\/basico\/cryptojacking-visando-instancias-vulneraveis-do-docker-e-do-kubernetes\/","title":{"rendered":"Cryptojacking visando inst\u00e2ncias vulner\u00e1veis \u200b\u200bdo Docker e do Kubernetes"},"content":{"rendered":"\n

Nova campanha de cryptojacking visando inst\u00e2ncias vulner\u00e1veis \u200b\u200bdo Docker e do Kubernetes<\/span><\/h1>\n

\u00a0<\/p>\n

Uma nova campanha de cryptojacking foi descoberta visando infraestruturas vulner\u00e1veis \u200b\u200bDocker e Kubernetes como parte de ataques oportunistas projetados para minerar criptomoedas ilicitamente.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

A empresa de seguran\u00e7a cibern\u00e9tica CrowdStrike apelidou a atividade <\/span>de Kiss-a-dog, com sua infraestrutura de comando e controle sobreposta \u00e0quelas associadas a outros grupos como <\/span>TeamTNT<\/span> , que s\u00e3o conhecidos por <\/span>atacar inst\u00e2ncias <\/span> mal configuradas<\/span> do Docker e do Kubernetes.<\/span><\/p>\n

\u00a0<\/p>\n

As invas\u00f5es, detectadas em setembro de 2022, obt\u00eam seu nome de um dom\u00ednio chamado “kiss.a-dog[.]top” que \u00e9 usado para acionar uma carga de script de shell no cont\u00eainer comprometido usando um comando Python codificado em Base64.<\/span><\/p>\n

\n
\u00a0<\/div>\n<\/center><\/div>\n

\u201cA URL usada na carga \u00fatil \u00e9 obscurecida com barras invertidas para derrotar a decodifica\u00e7\u00e3o automatizada e a correspond\u00eancia regex para recuperar o dom\u00ednio malicioso\u201d, informou<\/span> Manoj Ahuje, pesquisador da CrowdStrike\u00a0 em uma an\u00e1lise t\u00e9cnica.<\/span><\/p>\n

\u00a0<\/p>\n

A cadeia de ataque subsequentemente tenta escapar do cont\u00eainer e mover-se lateralmente para a rede violada, ao mesmo tempo em que toma medidas para encerrar e remover os servi\u00e7os de monitoramento em nuvem.<\/span><\/p>\n

\u00a0<\/p>\n

\"Cryptojacking\"<\/a><\/div>\n
\u00a0<\/div>\n
\n

Como m\u00e9todos adicionais para evitar a detec\u00e7\u00e3o, a campanha faz uso dos rootkits <\/span><\/span>Diamorphine<\/span><\/span> e <\/span><\/span>libprocesshide<\/span><\/span> para ocultar processos maliciosos do usu\u00e1rio, o \u00faltimo dos quais \u00e9 compilado como uma biblioteca compartilhada e seu <\/span><\/span>caminho<\/span><\/span> \u00e9 definido como o valor da <\/span>vari\u00e1vel de ambiente <\/span><\/span>LD_PRELOAD .<\/span><\/span><\/p>\n

\u00a0<\/p>\n

\u201cIsso permite que os invasores injetem bibliotecas compartilhadas maliciosas em todos os processos gerados em um cont\u00eainer comprometido\u201d, informou Ahuje.<\/span><\/p>\n

\u00a0<\/p>\n

O objetivo final da campanha \u00e9 minerar furtivamente criptomoedas usando o software de minera\u00e7\u00e3o XMRig, bem como fazer backdoor de inst\u00e2ncias Redis e Docker para minera\u00e7\u00e3o e outros ataques subsequentes.<\/span><\/p>\n<\/div>\n

\u00a0<\/p>\n

\u201cComo os pre\u00e7os das criptomoedas ca\u00edram, essas campanhas foram abafadas nos \u00faltimos dois meses at\u00e9 que v\u00e1rias campanhas foram lan\u00e7adas em outubro para aproveitar um ambiente de baixa competitividade\u201d, conforme observa\u00e7ao de\u00a0 Ahuje.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

As descobertas tamb\u00e9m ocorrem quando pesquisadores da Sysdig desvendaram outra sofisticada opera\u00e7\u00e3o de minera\u00e7\u00e3o de criptografia apelidada de PURPLEURCHIN, que aproveita a computa\u00e7\u00e3o alocada para contas de avalia\u00e7\u00e3o gratuitas no GitHub, Heroku e Buddy[.]Works para dimensionar os ataques.<\/span><\/p>\n

\u00a0<\/p>\n

Diz-se que at\u00e9 30 contas do GitHub, 2.000 contas Heroku e 900 contas Buddy foram utilizadas na campanha automatizada de freejacking.<\/span><\/p>\n

\u00a0<\/p>\n

O ataque envolve a cria\u00e7\u00e3o de uma conta GitHub controlada por ator, cada uma contendo um reposit\u00f3rio que, por sua vez, possui uma <\/span>a\u00e7\u00e3o do GitHub<\/span> para executar opera\u00e7\u00f5es de minera\u00e7\u00e3o ao iniciar uma imagem do Docker Hub.<\/span><\/p>\n

\u00a0<\/p>\n

\u201cO uso de contas gratuitas transfere o custo de execu\u00e7\u00e3o dos criptomineradores para o provedor de servi\u00e7os\u201d, <\/span>informaram<\/span> os pesquisadores . “No entanto, como muitos casos de uso de fraude, o abuso de contas gratuitas pode afetar outras pessoas. Despesas mais altas para o provedor levar\u00e3o a pre\u00e7os mais altos para seus clientes leg\u00edtimos.”<\/span><\/p>\n

\u00a0<\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de : https:\/\/thehackernews.com\/2022\/10\/new-cryptojacking-campaign-targeting.html<\/a>\u00a0 (Autor: Ravie Lakshmanan<\/span><\/span>)<\/p>\n\n\n\n\n","protected":false},"excerpt":{"rendered":"

Nova campanha de cryptojacking visando inst\u00e2ncias vulner\u00e1veis \u200b\u200bdo Docker e do Kubernetes \u00a0 Uma nova campanha de cryptojacking foi descoberta visando infraestruturas vulner\u00e1veis \u200b\u200bDocker e Kubernetes como parte de ataques oportunistas projetados para minerar criptomoedas ilicitamente. \u00a0 A empresa de seguran\u00e7a cibern\u00e9tica CrowdStrike apelidou a atividade de Kiss-a-dog, com sua infraestrutura de comando e controle […]<\/p>\n","protected":false},"author":2,"featured_media":19690,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,99],"tags":[],"class_list":["post-19689","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-novidades"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19689","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19689"}],"version-history":[{"count":1,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19689\/revisions"}],"predecessor-version":[{"id":19691,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19689\/revisions\/19691"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19690"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19689"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19689"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19689"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}