Blog de Informática y tecnología.

INFORMÁTICA POR KAMAL MAJAITI.

Docker objetivo de operaciones de minado de criptomonedas Hispasec @unaaldia

Tabla de contenido

LemonDuck, una banda conocida por explotar servidores Windows para realizar operaciones de minado de criptomonedas, está ampliando su botnet aprovechando contenedores de Docker en infraestructuras cloud.

En sus objetivos Windows, LemonDuck explota servidores de Microsoft Exchange mediante la vulnerabilidad Proxylogon. Una vez conseguido el acceso, EternalBlue, Bluekeep y otras vulnerabilidades son usadas para escalar privilegios, realizar movimientos laterales y establecer el propio minado de criptomonedas.

Proceso del ataque a Docker

Para conseguir el acceso inicial, LemonDuck está usando APIs expuestas de docker. Una vez con acceso a esta, se crea un contenedor malicioso que descarga un script de bash camuflado como una imagen de nombre ‘core.png‘. Éste configura un cronjob que descarga otro fichero, ‘a.asp‘, otro script de bash que realiza múltiples operaciones antes de configurar el proceso de minado.

Primero, elimina cualquier actividad de minado existente por parte de otros grupos. Acto seguido deshabilita el servicio de monitorización de Alibaba para evitar que se descubra la actividad maliciosa. Finalmente, descarga el sistema de minado XMRig, configurado con un pool de proxies que oculta la dirección real del wallet que almacena las criptomonedas extraídas.

script de bash para eliminar la protección de aliyun en Docker
Fragmento del script que deshabilita el servicio de monitorización de Aliyun.

Para la expansión de su botnet, LemonDuck busca claves SSH dentro del sistema de ficheros. Estas claves se usan para obtener acceso a otros servidores en los que se realiza el mismo proceso de instalación del sistema de minado.

El archivo con el que comienza el proceso, ‘core.png‘, es descargado desde el dominio t.m7n0y[.]com, asociado a LemonDuck. Es común que los atacantes usen un servidor de control por cada campaña. LemonDuck, por contra, está utilizando un mismo servidor para múltiples ataques, tanto contra Windows cómo contra Linux. A continuación se muestran distintas URLs maliciosas relacionadas con este dominio.

urls relacionadas con el dominio usado por LemonDuck, virustotal
URLs relacionadas con el servidor de comando y control.

Más información:

https://www.crowdstrike.com/blog/lemonduck-botnet-targets-docker-for-cryptomining-operations/

Libros recomendados


Fuente obtenida de: https://unaaldia.hispasec.com/2022/04/docker-objetivo-de-operaciones-de-minado-de-criptomonedas.html

INFORMACION DEL PUBLICADOR
Kamal Majaiti
Kamal Majaiti
Administrador de sistemas e informático por vocación.
COMPARTELO EN REDES
BUSCADOR
COMPARTELO EN REDES
NUBE DE ETIQUETAS
zlabs zentyal windows10 Windows Server windows defender windows admin center windows 2019 Windows wi-fi WhatsApp
COMENTARIOS RECIENTES
Trouble @ Cuánto cuesta el WiFi en el avión y qué limitaciones tiene Redes Zone : Portal sobre telecomunicaciones y redes
mayo 3, 2023 at 11:47 pm
¡Gracias por la información! Es interesante conocer los precios y limitaciones del WiFi en los…
Maria ruiz @ Crypto.com retira USDT de su plataforma para usuarios canadienses tras la prohibición de la OSC Noticias en Cointelegraph.com
enero 14, 2023 at 11:20 am
Que vienen las CBDC uy uy
Ruben @ La CNMV avisa que el caso de FTX es un ejemplo a la falta de regulación y hace un llamado a la precaución con la información de las redes sociales Noticias en Cointelegraph.com
enero 14, 2023 at 11:05 am
Que les jodan.
Juanes @ EE.UU. retrasa las normas de declaración de impuestos sobre las criptomonedas porque aún no puede definir qué es un «bróker» Noticias en Cointelegraph.com
diciembre 25, 2022 at 12:03 am
Quieren trozo del pastel y no van a renunciar.
Publica un comentario

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Todos los derechos reservados Kamal Majaiti

Encuéntrame en redes:

Linkedin Github Twitter