Una reciente campaña dirigida a sistemas Docker vulnerables ha comenzado a utilizar un minero llamado XMRig junto con la aplicación de visualización 9hits en sistemas comprometidos. Esta combinación permite a los atacantes buscar una doble fuente de ingresos.
9hits es una plataforma que permite el intercambio de tráfico web entre sus usuarios. En esta plataforma, los miembros pueden dirigir el tráfico hacia los sitios web de otros miembros. El tráfico se genera mediante una aplicación de visualización de 9hits que se instala en los dispositivos de los usuarios y utiliza una instancia de Chrome sin cabeza para visitar los sitios web solicitados por otros miembros. A cambio de esta acción, los usuarios obtienen créditos que pueden utilizar para aumentar el tráfico hacia sus propios sitios web.
En una campaña recientemente descubierta por expertos en seguridad, los atacantes han comenzado a implementar la aplicación 9hits Viewer en sistemas Docker comprometidos. Esto les permite generar créditos para sí mismos al explotar los recursos de estos sistemas para aumentar el tráfico como parte del sistema de intercambio de tráfico de 9hits.
Este caso representa la primera instancia documentada de malware que utiliza la aplicación 9hits como carga útil, según un informe compartido por expertos en seguridad.
Te podrá interesar leer: Análisis de Malware con Wazuh
Aunque no está claro cómo los actores de amenazas encuentran sistemas para comprometer, se sospecha que utilizan un producto de escaneo de red, como Shodan, para identificar servidores vulnerables y explotarlos con el fin de implementar contenedores maliciosos a través de la API de Docker.
Estos atacantes han configurado parámetros específicos para la aplicación 9hits, como permitir ventanas emergentes o visitar sitios web para adultos, pero no permiten sitios relacionados con criptomonedas. Por otro lado, otro contenedor ejecuta un minero XMRig que extrae criptomonedas Monero para el atacante, utilizando los recursos disponibles en la nube.
Este minero se conecta a un grupo de minería privado, lo que dificulta el seguimiento de la escala y las ganancias de la campaña. Se ha observado que el dominio utilizado para el grupo de minería sugiere que el atacante podría estar utilizando servicios DNS dinámicos para mantener el control.
Conoce más sobre: Contenedores Docker: Eficiencia en el Desarrollo de Apps
"El impacto principal de esta campaña en los sistemas comprometidos es la agotación de recursos, ya que el minero XMRig utilizará todos los recursos de la CPU disponibles, mientras que 9hits consumirá una gran cantidad de ancho de banda, memoria y cualquier CPU que quede", mencionó un informe de seguridad.
La campaña, descubierta recientemente, demuestra que los actores de amenazas continúan explorando diferentes formas de monetización más allá de los métodos tradicionales, como la criptominería, diversificando sus ataques y adoptando enfoques más sigilosos.
Las plataformas que son objeto de abuso por parte de los actores de amenazas, como 9hits, necesitan implementar políticas y controles de seguridad más rigurosos para prevenir el uso no autorizado de sus aplicaciones, lo que puede causar daños financieros y perturbaciones a las organizaciones.
Aquellas entidades que invierten en entornos de computación en la nube se encuentran en un panorama complicado y deben recurrir a estrategias como la confianza cero, la protección de cargas de trabajo en la nube (CWPP) y la gestión de la postura de seguridad en la nube (CSPM) para mejorar la visibilidad, administrar configuraciones y proteger los activos expuestos.
Los contenedores utilizados provienen de imágenes obtenidas de Dockerhub para reducir las sospechas. El script de propagación, detectado en el honeypot Docker de la investigación, hace uso de la CLI de Docker para configurar la variable DOCKER_HOST y emplea llamadas API típicas para extraer y ejecutar los contenedores.
El contenedor relacionado con 9hits ejecuta un script (nh.sh) con un token de sesión, lo que le permite autenticarse y generar créditos para el atacante al visitar una lista de sitios web. El sistema de token de sesión está diseñado para funcionar de manera segura, incluso en entornos no confiables, permitiendo al atacante obtener ganancias sin correr el riesgo de ser bloqueado.
Te podrá interesar leer: Monitoreo de Docker con Wazuh
Operaciones realizadas por el contenedor 9hits
El reciente ataque a los hosts de Docker destaca la importancia de mantener una postura de seguridad sólida en el mundo digital. A medida que las tecnologías evolucionan, también lo hacen las tácticas de los ciberdelincuentes. Por lo tanto, es esencial estar siempre un paso adelante, implementando las mejores prácticas de seguridad y manteniendo una vigilancia constante para proteger nuestros activos digitales.
La comunidad de Docker y los expertos en seguridad están trabajando activamente para abordar estas amenazas y proporcionar soluciones efectivas. Sin embargo, la responsabilidad también recae en los usuarios y las empresas para garantizar que sus sistemas estén seguros y actualizados.
Este incidente sirve como un recordatorio crítico de la necesidad de una ciberseguridad robusta y de la importancia de una colaboración continua entre desarrolladores, administradores de sistemas y expertos en seguridad para crear un entorno digital más seguro para todos.