El reciente auge de las criptomonedas ha disparado los precios de las criptomonedas en los últimos años. Como resultado, las actividades de criptominería han aumentado significativamente ya que los cibercriminales buscan obtener una compensación monetaria inmediata y es que el equipo de investigación de amenazas en la nube de CrowdStrike detectó que LemonDuck apuntaba a Docker para extraer criptomonedas en la plataforma Linux.
Docker es la plataforma para crear, ejecutar y administrar cargas de trabajo en contenedores. Docker proporciona una serie de API para ayudar a los desarrolladores con la automatización, y estas API pueden estar disponibles mediante sockets y daemons locales de Linux. Dado que Docker se usa principalmente para ejecutar cargas de trabajo de contenedores en la nube, una instancia de nube mal configurada puede exponer una API de Docker a Internet.
Mientras que LemonDuck es una conocida red de bots de criptominería que se dirige a los servidores de Microsoft Exchange a través de ProxyLogon y el uso de EternalBlue , BlueKeep , etc, para extraer criptomonedas, escalar privilegios y moverse lateralmente en redes comprometidas. Esta botnet intenta monetizar sus esfuerzos a través de varias campañas activas simultáneas para extraer criptomonedas como Monero.
Cabe destacar que LemonDuck esta apuntando a las API de Docker expuestas para obtener acceso inicial. Ejecuta un contenedor malicioso en una API de Docker expuesta mediante el uso de un PUNTO DE ENTRADA de Docker personalizado para descargar un archivo de imagen "core.png" que está disfrazado de secuencia de comandos Bash.
El archivo Bash realiza las siguientes acciones:
▸Elimina procesos en función de los nombres de grupos de minería conocidos, grupos de criptominería de la competencia, etc.
▸Mata a los daemons conocidos, incluidos crond, sshd y syslog, que se eliminan al capturar los identificadores de procesos de los daemons.
▸Elimina las rutas de archivo conocidas del indicador de compromiso (IOC) para interrumpir cualquier operación existente.
▸Elimina las conexiones de red conocidas.
En la última etapa de la cadena de ataque, el archivo “a.asp” se descarga y ejecuta el minero XMRig también con su configuración. El análisis del archivo de configuración utilizado por XMRig reveló el uso de un grupo de proxy de criptominería para ocultar la dirección de la billetera utilizada por los operadores.
