Microsoft dice que los dispositivos Linux e Internet de las Cosas (IoT) expuestos a Internet están siendo secuestrados en ataques de fuerza bruta como parte de una campaña de cryptojacking observada recientemente.
Tras obtener acceso a un sistema, los atacantes despliegan un paquete OpenSSH troyanizado que les ayuda a abrir puertas traseras en los dispositivos comprometidos y robar credenciales SSH para mantener la persistencia.
"Los parches instalan ganchos que interceptan las contraseñas y claves de las conexiones SSH del dispositivo, ya sea como cliente o como servidor", explica Microsoft.
"Además, los parches permiten el inicio de sesión root a través de SSH y ocultan la presencia del intruso suprimiendo el registro de las sesiones SSH de los actores de la amenaza, que se distinguen por una contraseña especial."
Puede leer también | Disponible OpenSSH 8.6 con cambios importantes y solucionando problemas de vulnerabilidad
El script de shell de puerta trasera desplegado al mismo tiempo que el binario OpenSSH troyanizado añadirá dos claves públicas al archivo authorized_keys para el acceso SSH persistente.
Además, permite a los actores de la amenaza recopilar información del sistema e instalar rootkits LKM de código abierto Reptile y Diamorphine para ocultar actividades maliciosas en los sistemas pirateados.
Los autores de la amenaza también utilizan la puerta trasera para eliminar a otros mineros añadiendo nuevas reglas iptables y entradas a /etc/hosts para eliminar el tráfico a hosts e IP utilizadas por los competidores de la operación de cryptojacking.
"También identifica los procesos y archivos de los mineros por sus nombres y los termina o bloquea el acceso a ellos, y elimina el acceso SSH configurado en authorized_keys por otros adversarios", dijo Microsoft.
Una versión del bot IRC de código abierto ZiggyStarTux también desplegado en el ataque viene con capacidades de denegación de servicio distribuido (DDoS) y permite a los operadores ejecutar comandos bash.
El malware backdoor utiliza múltiples técnicas para asegurar su persistencia en los sistemas comprometidos, duplicando el binario en varias ubicaciones de disco y creando cron jobs para ejecutarlo periódicamente.
Además, registra ZiggyStarTux como un servicio systemd, configurando el archivo de servicio en /etc/systemd/system/network-check.service.
Puede leer también | 21 paquetes maliciosos que reemplazan a OpenSSH ESET lo identifico
El tráfico de comunicaciones C2 entre los bots ZiggyStarTux y los servidores IRC se camufla utilizando un subdominio perteneciente a una institución financiera legítima del sudeste asiático alojada en la infraestructura del atacante.
Durante la investigación de la campaña, Microsoft observó que los bots recibían instrucciones para descargar y ejecutar scripts de shell adicionales con el fin de aplicar fuerza bruta a todos los hosts activos de la subred del dispositivo pirateado y abrir puertas traseras en los sistemas vulnerables mediante el paquete OpenSSH troyanizado.
Tras moverse lateralmente dentro de la red de la víctima, el objetivo final de los atacantes parece ser la instalación de malware de minería dirigido a sistemas Hiveon OS basados en Linux y diseñados para la minería de criptomonedas.
"La versión modificada de OpenSSH imita la apariencia y el comportamiento de un servidor OpenSSH legítimo y, por lo tanto, puede plantear un mayor desafío para la detección que otros archivos maliciosos", dijo Microsoft.
Puede leer también | Para Linux basadas en OpenSSH descubren 21 familias de malware
"El OpenSSH parcheado también podría permitir a los actores de la amenaza acceder y comprometer dispositivos adicionales. Este tipo de ataque demuestra las técnicas y la persistencia de los adversarios que buscan infiltrarse y controlar los dispositivos expuestos."