LemonDuck, ein plattformübergreifendes Kryptowährungs-Mining-Botnet, zielt auf Docker ab, um im Rahmen einer aktiven Malware-Kampagne Kryptowährung auf Linux-Systemen zu schürfen.
„LemonDuck betreibt anonymes Mining mit Hilfe von Proxy-Pools, die die Wallet-Adressen verbergen“, so CrowdStrike in einem neuen Bericht. „Er entgeht der Entdeckung, indem er den Überwachungsdienst von Alibaba Cloud angreift und deaktiviert.
LemonDuck ist dafür bekannt, sowohl Windows- als auch Linux-Umgebungen anzugreifen, und wurde in erster Linie entwickelt, um die Systemressourcen zum Mining von Monero zu missbrauchen. Er ist aber auch in der Lage, Anmeldedaten zu stehlen, sich seitlich zu bewegen und den Einsatz zusätzlicher Nutzlasten für Folgeaktivitäten zu erleichtern.
„LemonDuck nutzt eine Vielzahl von Verbreitungsmechanismen – Phishing-E-Mails, Exploits, USB-Geräte, Brute-Force und andere – und hat gezeigt, dass er Nachrichten, Ereignisse oder die Veröffentlichung neuer Exploits schnell ausnutzen kann, um effektive Kampagnen zu starten“, so Microsoft in einem technischen Bericht über die Malware im Juli letzten Jahres.
Anfang 2021 nutzten Angriffsketten, an denen LemonDuck beteiligt war, die damals neu gepatchten Exchange Server-Schwachstellen aus, um sich Zugang zu veralteten Windows-Rechnern zu verschaffen, bevor sie Backdoors und Datendiebe, darunter Ramnit, herunterluden.
Die jüngste Kampagne, die CrowdStrike entdeckt hat, nutzt exponierte Docker-APIs als anfänglichen Zugangsvektor, um einen bösartigen Container auszuführen, der eine als harmlose PNG-Bilddatei getarnte Bash-Shell-Skriptdatei von einem Remote-Server abruft.
Eine Analyse historischer Daten zeigt, dass ähnliche Bilddatei-Dropper, die auf LemonDuck-assoziierten Domains gehostet werden, von den Bedrohungsakteuren seit mindestens Januar 2021 eingesetzt werden, so das Cybersecurity-Unternehmen.
Das Shell-Skript lädt die eigentliche Nutzlast herunter, die dann konkurrierende Prozesse beendet, die Überwachungsdienste von Alibaba Cloud deaktiviert und schließlich den XMRig-Münzschürfer herunterlädt und ausführt.
Da kompromittierte Cloud-Instanzen zu einer Brutstätte für illegales Kryptowährungs-Mining werden, unterstreichen die Ergebnisse die Notwendigkeit, Container in der gesamten Software-Lieferkette vor potenziellen Risiken zu schützen.
TeamTNT nimmt AWS und Alibaba Cloud ins Visier
Die Enthüllungen kommen zu einem Zeitpunkt, an dem Cisco Talos das Toolset einer Cybercrime-Gruppe namens TeamTNT aufgedeckt hat, die es in der Vergangenheit auf Cloud-Infrastrukturen abgesehen hat, um Kryptojacking zu betreiben und Hintertüren einzubauen.
Die Malware, die als Reaktion auf frühere Enthüllungen modifiziert worden sein soll, zielt in erster Linie auf Amazon Web Services (AWS) ab und konzentriert sich gleichzeitig auf Kryptowährungs-Mining, Persistenz, Lateral Movement und das Ausschalten von Cloud-Sicherheitslösungen.
„Cyberkriminelle, die von Sicherheitsforschern geoutet werden, müssen ihre Werkzeuge aktualisieren, um weiterhin erfolgreich zu operieren“, so Talos-Forscher Darin Smith.
„Die von TeamTNT genutzten Werkzeuge zeigen, dass Cyberkriminelle sich immer wohler dabei fühlen, moderne Umgebungen wie Docker, Kubernetes und öffentliche Cloud-Anbieter anzugreifen, die traditionell von anderen Cyberkriminellen gemieden werden, die sich stattdessen auf lokale oder mobile Umgebungen konzentrieren.“
Spring4Shell für Cryptocurrency-Mining ausgenutzt
Das ist noch nicht alles. Ein weiteres Beispiel dafür, wie Bedrohungsakteure neu entdeckte Schwachstellen schnell für ihre Angriffe nutzen, ist der kritische Fehler in Spring Framework (CVE-2022-22965), der die Ausführung von Remote-Code ermöglicht, um Cryptocurrency-Miner einzusetzen.
Die Angreifer nutzen eine benutzerdefinierte Web-Shell, um die Kryptowährungs-Miner einzusetzen, aber erst nachdem sie die Firewall ausgeschaltet und andere Prozesse der virtuellen Miner beendet haben.
„Diese Kryptowährungs-Miner haben das Potenzial, eine große Anzahl von Nutzern zu schädigen, insbesondere da Spring das am weitesten verbreitete Framework für die Entwicklung von Unternehmensanwendungen in Java ist“, so die Trend Micro Forscher Nitesh Surana und Ashish Verma.