Los investigadores del Equipo de respuesta de inteligencia de seguridad de Akamai (SIRT) descubrieron en junio la campaña actualmente activa, que emplea un tipo emergente de ataque llamado ProxyJacking.
Los actores de amenazas están explotando servidores vulnerables de protocolo de Shell Seguro (SSH) para lanzar servicios Docker que aprovechan un vector de ataque emergente y rentable que secuestra el ancho de banda de la red de una víctima por dinero.
Los actores de amenazas usan SSH para el acceso remoto y luego ejecutan scripts maliciosos que reclutan a los servidores de las víctimas en una red proxy legítima P2P, como Peer2Proxy o Honeygain, sin su conocimiento, dijeron los investigadores. Estas redes, que usan aplicaciones complementarias o software instalado en dispositivos conectados a Internet, permiten que alguien comparta el ancho de banda de Internet pagando para usar la dirección IP de los usuarios de la aplicación.
"Esto le permite al atacante monetizar el ancho de banda adicional de una víctima desprevenida, con solo una fracción de la carga de recursos que se requeriría para la criptominería, con menos posibilidades de descubrimiento", escribió Allen West, investigador de seguridad de SIRT, en la publicación.
En pocas palabras, eso es ProxyJacking, un modelo de ataque emergente que se aprovecha de estos servicios y, a gran escala, potencialmente puede generarles a los ciberdelincuentes cientos de miles de dólares por mes en ingresos pasivos.
Si bien la idea del secuestro por proxy no es nueva, la capacidad de monetizar fácilmente el uso del ancho de banda de alguien como afiliados de las principales empresas es nueva, lo que explica por qué los investigadores de seguridad están viendo más ProxyJacking en el panorama de amenazas, advirtió West. "Proporcionar un camino simple hacia la ganancia financiera hace que este vector sea una amenaza tanto para el mundo corporativo como para el consumidor promedio, lo que aumenta la necesidad de concientización y, con suerte, mitigación", escribió.
El ProxyJacking también facilita que los actores de amenazas oculten sus huellas al enrutar el tráfico malicioso a través de una multitud de nodos antes de que llegue a su destino final, según la investigación. Esto hace que el origen de la actividad dañina sea difícil de identificar para las víctimas o los investigadores, otra opción atractiva para los atacantes que buscan monetizar su actividad sin consecuencias.
Cómo funciona el ataque
El primer indicio del ataque que identificaron los investigadores de Akamai se produjo cuando un atacante estableció varias conexiones SSH a uno de los honeypots de la empresa utilizando un script Bash doblemente codificado en Base64 para oscurecer la actividad. Descifraron con éxito el script y pudieron observar el método de ProxyJacking del actor de amenazas hasta la secuencia exacta de operaciones.
El script transformó el sistema comprometido en un nodo en la red proxy Peer2Profit, usando la cuenta especificada por $PACCT como el afiliado que se beneficiará del ancho de banda compartido, según Akamai SIRT. El mismo proceso se empleó para una instalación de Honeygain un tiempo después.
"El script fue diseñado para ser sigiloso y robusto, intentando operar independientemente del software instalado en el sistema host", escribió West.
El script ejecuta varias funciones, una de las cuales es descargar una versión real y sin modificar de cURL, una herramienta de línea de comandos que permite el intercambio de datos entre un dispositivo y un servidor a través de una terminal.
Esta herramienta parece ser todo lo que los atacantes necesitan para que el esquema funcione y, "si no está presente en el host de la víctima, entonces el atacante la descarga", escribió West.
El ejecutable cancela todos los contenedores que se ejecutan en el nodo para instalar un contenedor Docker para manejar el proceso de robo de proxy y, una vez que todo está en su lugar, el atacante puede salir de la red sin dejar rastro.
¿Cómo se defiende contra el proxyjacking?
Debido a la creciente prevalencia y la relativa facilidad con la que los atacantes pueden configurar ataques de ProxyJacking, y la incapacidad de identificar a los atacantes originales, las organizaciones deben mantener la vigilancia en sus redes para detectar comportamientos anormales en la forma en que se utilizan sus recursos para evitar compromisos.
Para el ataque particular que observó el equipo de Akamai, los atacantes usaron SSH para obtener acceso a un servidor e instalar un contenedor Docker. Para evitar este tipo de ataque, las organizaciones pueden verificar sus servicios Docker que se ejecutan localmente para localizar cualquier recurso no deseado que comparta el sistema, según Akamai. Si encuentran uno, se debe investigar la intrusión y se debe determinar cómo se cargó y ejecutó el script, después de lo cual las organizaciones deben realizar una limpieza exhaustiva.
También es exclusivo del ataque que el ejecutable en forma de la herramienta cURL probablemente sería pasado por alto por la mayoría de las empresas, ya que esa herramienta se puede usar legítimamente.
Fuente: DarkReading