Negli ultimi mesi, la sicurezza informatica è stata scossa dalla scoperta di una sofisticata campagna di cryptojacking che sfrutta la rete TOR e le API Docker esposte su internet. I ricercatori hanno rilevato che questa nuova variante di attacco si basa su tecniche già viste in precedenti campagne, ma con strumenti e obiettivi potenzialmente diversi, come la creazione di una botnet complessa. L'attacco prende di mira le API Docker mal configurate, avviando un nuovo container basato su Alpine e montando il file system dell'host. Successivamente, viene eseguito un payload codificato in Base64 per scaricare uno script da un dominio .onion, garantendo l'anonimato degli attaccanti.

Lo script e i suoi strumenti

Lo script modifica la configurazione SSH per ottenere persistenza e installa strumenti come masscan, libpcap, zstd e torsocks. Questi vengono utilizzati per effettuare ricognizione, comunicare con server di comando e controllo e scaricare ulteriori componenti malevoli. Il primo file scaricato è un dropper scritto in Go, che non comunica esternamente ma estrae altri file binari e analizza l'elenco degli utenti attualmente loggati sulla macchina compromessa. Un dettaglio curioso è la presenza nel codice di un'emoji per rappresentare gli utenti, suggerendo l'uso di modelli linguistici avanzati nella creazione del malware.

Propagazione e nuove funzionalità

Il dropper avvia anche una scansione su internet alla ricerca di altri servizi Docker esposti sulla porta 2375, cercando di propagare l’infezione replicando la procedura di compromissione. Inoltre, sono presenti nel codice controlli per le porte 23 e 9222, rispettivamente associate a Telnet e al debug remoto di browser Chromium, anche se queste funzionalità non sono ancora state pienamente implementate. L’attacco tramite Telnet tenta di forzare login usando credenziali di default, inviando i dati raccolti a un endpoint webhook. Nel caso della porta 9222, il malware sfrutta la libreria Go chromedp per interagire con il browser e potenzialmente esfiltrare cookie e dati sensibili, oltre a registrare nuovi device in una botnet.

Vettori di vulnerabilità e buone pratiche

La campagna evidenzia come la mancata segmentazione delle reti, la non limitazione dei servizi esposti su internet e l’uso di credenziali di default rendano le organizzazioni vulnerabili. Implementare buone pratiche di sicurezza, come la restrizione dell’accesso alle API Docker e la protezione delle credenziali, è fondamentale per prevenire tali minacce.