New Linux Malware Campaign Targets Docker, Apache Hadoop, Redis and Confluence

Отчет с таким названием от исследователей из Cado Security лежал у меня в бэклоге почти две недели дожидаясь своего часа⏰ Содержание отчета представляет собой вполне детальный разбор кампании нацеленной на эксплуатацию RCE-уязвимости CVE-2022-26134 в Confluence и мисконфигов Docker Engine API на tcp/2375, Apache Hadoop YARN API на tcp/8088 и Redis на tcp/6379 с целью запуска майнеров Monero - XMRig

➡️ Вектор атаки:
☑️ Эксплуатация CVE-2022-26134 в Confluence и мисконфига Docker Engine API с классическим побегом из контейнера:
docker -H <target-ip>:2375 run -v /:/mnt --rm -it alpine:latest chroot /mnt sh
☑️ Далее не менее классическая схема: bash скрипт с помощью сron связывается с С2, тащит ELF бинари 64-bit Golang и необходимый софт, в том числе сетевые сканнеры masscan, zgrab2, pnscan для поиска Hadoop YARN, Redis
☑️ Установка XMRig для майнинга криптовалюты

В целом ничего примечательного, за исключением попыток еще более ослабить защищенность системы (weakening) и затруднить мероприятия по форензике.
🤔Из интересного:
☑️ Способ избавиться от .bash_history c помощью shopt (shell options), при этом сама команда на перетирание тоже не остается в history после перезапуска шелла

shopt -ou history 2>/dev/null 1>/dev/null

☑️ Использование в качестве С2 - open source инструмента Platypus - modern multiple reverse shell sessions/clients manager via terminal written in go
☑️ Использование сканера - pnscan - Peter's Parallel Network Scanner🤷‍♂️ (c) 2002-2020 by Peter Eriksson, который судя по README предпочитает крепкие напитки😎

If you like it then I'd gladly accept a nice bottle of whisky,

some free beer or even just a "Thank you!" email :-)