Los ciberdelincuentes continúan con su actividad maliciosa en Internet. El último caso es el de la explotación de las vulnerabilidades críticas de OpenMetadata para obtener acceso no autorizado a cargas de trabajo de Kubernetes y usarlas así con fines de minería de criptomonedas.
La nueva campaña de criptominería, aún en investigación, señala que se han aprovechado hasta cinco vulnerabilidades en OpenMetadata para infectar los entornos de Kubernetes.
¿Qué es OpenMetadata?
Recordar que OpenMetadata se presenta como una plataforma unificada para el descubrimiento, observabilidad y gobernanza, impulsada por un repositorio central de metadatos, un linaje profundo y una colaboración fluida en equipo.
En todo momento, es un proyecto de código abierto y gran crecimiento, dotado de una comunidad vibrante y adoptada, por parte de un conjunto diverso de empresas, a numerosos sectores industriales.
Basado en API y otros estándares abiertos de metadatos, admiten conectores para una amplia gama de servicios de datos, así como la gestión de metadatos de un extremo a otro para brindarle la plena libertad de desbloquear el valor de sus activos de datos.
Las claves de esta nueva amenaza en OpenMetadata
El informe emitido por Microsoft Threat Intelligence recoge cómo los atacantes aprovecharon hasta cinco errores recientemente revelados de la plataforma de código abierto para implementar criptomineros en clústeres de Kubernetes, desde principios de abril de 2024.
El atacante activó alertas de Microsoft Defender para contenedores. De este modo, intentó iniciar una conexión de shell inversa en un clúster de Kubernetes activará una alerta de Microsoft Defender.
Gracias a OpenMetadata es posible gestionar metadatos de diferentes fuentes de datos en un repositorio central para el linaje de metadatos. De este modo, al comprometer su carga de trabajo, se genera un movimiento lateral por conexiones con otros servicios en el clúster.
Un total de cinco vulnerabilidades de OpenMetadata se apreciaron, incluida una falla crítica de autenticación incorrecta y un error crítico de inyección de código, para obtener acceso inicial y lograr la ejecución remota de código (RCE) en las cargas de trabajo.
Estas vulnerabilidades, emitidas por primera vez el 15 de marzo, fueron rastreadas como: CVE-2024-28255 , CVE-2024-28847 , CVE-2024-28253 , CVE-2024-28848 y CVE-2024-28254.
Versiones de OpenMetadata afectadas
En concreto, se vieron afectadas todas las anteriores a la versión 1.3.1. Dicho esto, los administradores que ejecutan una carga de trabajo de OpenMetadata en su clúster de Kubernetes deberán cerciorarse de que la imagen estuviese actualizada. Además, deberán aplicar medidas de autenticación sólidas, sustituyendo las credenciales de acceso ante una elevada exposición a Internet.
Ciberdelincuencia en minería de criptomonedas
Los investigadores de Microsoft concluyeron que los ciberdelincuentes se encargaban de descargar una carga útil de malware relacionada con la criptominería, desde un servidor remoto enclavado en China, el cual alberga otras herramientas de criptominería adicionales para los sistemas operativos de Linux y Windows.
En todo momento, los ciberdelincuentes operan del mismo modo. Envían solicitudes de ping a dominios de pruebas de seguridad de aplicaciones (OAST) fuera de banda, los cuales determinan la conectividad de red entre el sistema comprometido y la infraestructura del atacante, aunque sin crear tráfico saliente detectado como sospechoso.
En todo caso, los atacantes emplean comandos específicos para realizar reconocimientos en el entorno de la víctima, consultando información sensible como configuraciones de red y de hardware, versiones del sistema operativo y usuarios activos. También implica la lectura de las variables del entorno de la carga de trabajo de OpenMetadata (suele contener credenciales y cadenas de conexión que se aprovechan para el movimiento lateral).
Conocida la conectividad y completado el reconocimiento, la carga de malware de criptominería se recupera del servidor remoto y sus permisos son elevados para permitir la ejecución. Es así cómo la herramienta Netcat es empelada para establecer una conexión shell inversa con el servidor de comando y control (C2) para darle al atacante un control remoto sobre el sistema comprometido.
El ciberdelincuente o criptominero instalar una nota personal que llama la atención de la víctima, pidiéndole que no denuncie y le permita reanudar la criptominería, acusando que su familia es muy pobre. Para ello, incluso, incorpora una dirección de criptomoneda Monero con donaciones.
Cuando se instala Metasploit, el actor de la amenaza puede tomar el control del sistema infectado y también dominar la red interna de una organización utilizando las diversas características que ofrece el malware.
Otro caso reciente: CryptoLove Loader
Además del citado de OpenMetadata, el avance de las tecnologías blockchain ha propiciado nuevas actividades maliciosas por parte de los ciberdelincuentes. Es el caso del malware CryptoLove Loader. Todo comienza con el envío de mensajes engañosos relacionados con las criptomonedas en redes sociales.
Este malware opera como un Loader o gestor de arranque, un componente crítico en el proceso de inicio de cualquier dispositivo electrónico. No obstante, su funcionalidad se extiende y activa diferentes tipos de software malicioso destinados a comprometer la seguridad del usuario.
