La seguridad informática se enfrenta continuamente a nuevos desafíos, y la emergencia de malware desarrollado en Golang que ataca infraestructuras clave como Docker, Hadoop, Redis y Confluence, marca un preocupante avance en las técnicas de los ciberdelincuentes. En un momento donde la seguridad digital es más crítica que nunca, mantenerse informado es el primer paso para defenderse de los actores maliciosos que buscan explotar las vulnerabilidades en las tecnologías que potencian nuestro mundo conectado.
Ciberdelincuentes están atacando servidores con configuraciones deficientes de Apache Hadoop YARN, Docker, Confluence o Redis, empleando un malware innovador creado en Golang que facilita tanto la identificación como el compromiso de estos sistemas. La estrategia detrás de esta campaña maliciosa se centra en explotar configuraciones inseguras y una vulnerabilidad conocida en Atlassian Confluence para ejecutar comandos malintencionados en los sistemas afectados.
El equipo de Cado Security, especializado en respuesta a incidentes y análisis forense digital en la nube, descubrió esta operación y ha realizado un análisis exhaustivo de las herramientas utilizadas en estos ataques, que incluyen scripts de bash y binarios Golang ELF.
Este grupo de ciberataques guarda similitudes con otros incidentes en la nube previamente reportados, algunos de los cuales han sido vinculados a grupos de ciberdelincuentes conocidos como TeamTNT, WatchDog y Kiss-a-Dog.
La investigación sobre este ataque comenzó tras detectar una alerta de actividad sospechosa en un honeypot de API de Docker Engine, que reveló la creación de un nuevo contenedor con Alpine Linux en el servidor comprometido.
Para expandir su control, el actor de amenazas emplea una serie de scripts de shell y técnicas de ataque comunes en Linux, con el fin de instalar software de minería de criptomonedas, asegurar su persistencia en el sistema y establecer un shell inverso.
Te podrá interesar: Crosslock Ransomware: Entendiendo el Nuevo Malware Basado en Golang
Los ataques recientes involucran un conjunto de cuatro cargas útiles de Golang diseñadas específicamente para detectar y comprometer servidores que ejecutan servicios esenciales como Hadoop YARN (h.sh), Docker (d.sh), Confluence (w.sh) y Redis (c.sh). A pesar de los intentos de camuflaje como scripts bash, estos archivos son en realidad binarios Golang ELF de 64 bits.
Una peculiaridad notable es que los desarrolladores detrás de este malware no eliminaron la información de depuración DWARF de los archivos binarios, ni intentaron ocultar cadenas u otros datos sensibles, facilitando así la tarea de ingeniería inversa.
Las herramientas basadas en Golang se utilizan para barrer segmentos de red en busca de puertos abiertos específicos (2375, 8088, 8090, 6379), correspondientes a cada servicio objetivo de la campaña. En particular, el binario "w.sh" se emplea para localizar servidores Confluence, utilizando un exploit para la vulnerabilidad crítica CVE-2022-26134, que permite la ejecución de código sin autenticación por parte de atacantes remotos.
Además, se descubrió una carga útil llamada "fkoths" cuyo propósito es borrar evidencia del acceso inicial mediante la eliminación de imágenes de Docker de repositorios conocidos como Ubuntu o Alpine.
Otro script de shell, "ar.sh", se utiliza para profundizar el compromiso del sistema, eludir análisis forenses y descargar cargas útiles adicionales, como el software de minería XMRig para Monero. Este script también instala una clave SSH para mantener el acceso remoto, recupera un shell inverso basado en Golang y busca claves SSH y direcciones IP vinculadas.
A pesar de que la mayoría de las cargas útiles son identificadas como maliciosas por plataformas antivirus, los binarios Golang específicos para el descubrimiento de servicios apenas son detectados. Dos de estas cargas, w.sh y c.sh, son reconocidas por menos de diez motores antivirus, y la fecha más temprana de envío, el 11 de diciembre de 2023, podría indicar el comienzo de esta campaña. Los otros dos archivos pasan mayormente desapercibidos.
Conoce más sobre: Análisis de Malware con Wazuh
En conclusión, la aparición de este sofisticado malware de Golang dirigido a servidores que ejecutan servicios críticos como Hadoop YARN, Docker, Confluence y Redis subraya una vez más la importancia de mantener prácticas de seguridad robustas y configuraciones precisas en nuestra infraestructura digital. La habilidad de los atacantes para explotar vulnerabilidades conocidas y configuraciones inseguras, combinada con la sofisticación y el bajo índice de detección de estas nuevas cargas útiles, representa un llamado urgente a la acción para las organizaciones de todos los tamaños.
Este escenario resalta la necesidad de una vigilancia continua, la actualización y el parcheo oportuno de sistemas, así como la implementación de medidas de seguridad avanzadas que puedan detectar y mitigar tales amenazas antes de que causen daño significativo. Además, el análisis y la divulgación de estas campañas maliciosas juegan un papel crucial en la educación de la comunidad cibernética, permitiendo una defensa colectiva más efectiva contra los actores de amenazas.