Хакеры атакуют неправильно настроенные серверы Apache Hadoop YARN, Docker, Confluence и Redis с помощью новой малвари на базе Go, которая автоматизирует обнаружение и компрометацию новых хостов.
Эксперты Cado Security, обнаружившие эту вредоносную кампанию и назвавшие ее Spinning YARN, изучили полезную нагрузку, используемую в атаках, bash-скрипты и бинарные файлы ELF.
Исследователи отмечают, что набор инструментов похож на ранее зафиксированные облачные атаки, некоторые из которых приписывались таким хак-группам, как TeamTNT, WatchDog и Kiss-a-Dog.
Расследование началось после того, как специалисты получили предупреждение о компрометации ханипота Docker Engine API, и на сервере появился новый контейнер на базе Alpine Linux. Затем хакеры, используя многочисленные шелл-скрипты, установили криптовалютный майнер, закрепились в системе и настроили реверс-шелл.
По словам исследователей, атакующие развернули набор из четырех полезных нагрузок, написанных на Go, которые позволяли идентифицировать и эксплуатировать хосты, на которых запущены сервисы для Hadoop YARN (h.sh), Docker (d.sh), Confluence (w.sh) и Redis (c.sh). Названия этих пейлоадов свидетельствовали о неудачных попытках злоумышленников замаскировать бинарники ELF под bash-скрипты.
Исследователи пишут, что хакеры используют перечисленные инструменты для эксплуатации распространенных ошибок конфигурации и N-day уязвимостей, ради последующего проведения RCE-атак и заражения новых хостов.
«Интересно, что разработчики вредоносного ПО не позаботились об очистке двоичных файлов, оставив нетронутой отладочную информацию DWARF. Также не было предпринято никаких усилий для обфускации строк и других конфиденциальных данных в двоичных файлах, что сделало реверс инжиниринг легкодоступным», — говорят в Cado Security.
Хакеры используют свои Golang-инструменты для сканирования сегментов сети в поисках открытых портов 2375, 8088, 8090 или 6379, которые являются стандартными для целей этой кампании. Так, в случае с w.sh, после обнаружения IP-адреса сервера Confluence, он загружает эксплоит для критического бага CVE-2022-26134, позволяющего удаленным злоумышленникам выполнять произвольный код без аутентификации.
Еще одна полезная нагрузка называется fkoths, и ее задача — удалить следы взлома, избавившись от образов Docker в репозиториях Ubuntu или Alpine.
Более крупный шелл-скрипт ar.sh применялся для дальнейшей компрометации, антианализа и получения дополнительных полезных нагрузок, включая майнер XMRig. Также этот скрипт добавляет SSH-ключ, позволяющий злоумышленникам сохранять доступ к зараженной системе, извлекает написанный на Go реверс-шелл Platypus, а также ищет SSH-ключи и связанные с ними IP-адреса.
В отчете подчеркивается, что четыре Go-бинарника, использующиеся для поиска новых целевых сервисов, практически не обнаруживаются решениями с Virus Total.