Docker Hub utilizado por ciberactores para ingresar repositorios maliciosos

Tres grandes campañas maliciosas de malware han sido descubiertas recientemente utilizando repositorios de Docker para alojar malware. Según los investigadores de JFrog, dichas campañas están activas desde principios del 2021, y además de malware, también son usadas por los actores de amenaza para impulsar spam y phishing. Estas campañas fueron llamadas por los investigadores como:

• Downloader
• eBook Phishing
• Website SEO
• Docker

Es una plataforma cloud que ofrece muchas funcionalidades a los desarrolladores, entre las cuales se encuentran: el desarrollo, la colaboración y la distribución de imágenes de Docker. Es una de las plataformas de contenedores más usada actualmente por los desarrolladores de todo el mundo que alberga más de 15 millones de repositorios.

De ese número de repositorios de acuerdo a un estudio de JFrog, al menos el 20% del compilado de repositorios alojan contenido malicioso, que iba desde el simple spam que promueve contenido ilegítimo, hasta entidades extremadamente maliciosas como sitios de malware y phishing, cargados por cuentas generadas automáticamente. La clasificación de los repositorios maliciosos se expone de la siguiente manera:

Ilustración 1: Clasificación de repositorios maliciosos
Fuente: JFrog

Cronología de las campañas

Las campañas se han dado en dos etapas:

2021: Dominios maliciosos que se hacen pasar por acortadores de URL para codificar un archivo. Para hacerlo resuelven un vínculo a un dominio diferente cada vez que son  descubiertos.

2023: Existe una mejora en las técnicas de detección en lugar de enlaces directos como en la campaña anterior, usan recursos o librerías legítimas que redireccionan a los usuarios a las fuentes maliciosas.

Ambas etapas de campañas se enfocan en aprovechar la credibilidad de la plataforma Docker para engañar a usuarios desprevenidos.

Campaña Downloader

Esta campaña usa como método de propagación descargas de videojuegos pirateado, donde los actores de amenaza generan el texto SEO automáticamente para engañar a los usuarios con contenido o trucos para videojuegos redireccionándolos a los enlaces maliciosos para la posterior descarga de malware.

Ilustración 2: Propagación de la campaña “Downloader”

Fuente: JFrog

Campaña eBook Phishing

Una campaña llamada "eBook Phishing" se aprovechó maliciosamente de Docker Hub, creando casi un millón de repositorios a mediados de 2021 para distribuir spam y ofrecer descargas gratuitas de libros electrónicos. Estos repositorios tenían descripciones generadas aleatoriamente y proporcionaban URLs de descarga. Los usuarios que intentaban descargar un libro gratuito eran redirigidos a páginas aleatorias que dependían de su país, donde se les pedía información de tarjetas de crédito. El objetivo era robar estos datos y, sin que los usuarios lo supieran, inscribirlos en servicios de suscripciones que costaban entre 40 y 60 euros al mes. El pie de estas páginas contenía texto apenas legible que advertía sobre el costo de la suscripción.

Ilustración 3: Propagación de la campaña “EbookPhishing”

Fuente: JFrog

Campaña Website SEO

La campaña "SEO de sitios web" se diferencia de otras campañas maliciosas por no tener un objetivo claramente malicioso, aunque sus repositorios fueron creados con un objetivo malicioso. Estos repositorios generalmente contienen cadenas de descripción aleatorias y nombres de usuario siguiendo el patrón "axaaaaaxxx", donde 'a' es una letra y 'x' es un dígito. Todos los repositorios tienen el mismo nombre: "sitio web". Se cree que esta campaña podría haber sido utilizada como una especie de prueba de estrés antes de lanzar campañas maliciosas más grandes. A diferencia de campañas anteriores, que creaban miles de repositorios desde un solo usuario en un corto período de tiempo, esta campaña publicaba solo un repositorio por usuario pero mantenía un ritmo constante, creando mil repositorios diariamente durante tres años. Los repositorios contienen descripciones breves, aparentemente sin sentido, y algunos incluyen enlaces a redes sociales que no parecen ser maliciosos. La campaña presenta un patrón de creación diferente y no está claro su propósito final, pero se destaca por la persistencia y la cantidad masiva de repositorios creados, durante ese largo periodo de tiempo.

¿Cómo pueden evitar los usuarios caer en éste tipo de campañas?

• Usar sólo las imágenes de los repositorios de Docker que estén marcadas como “Docker Official Image”, “Verified Publisher”, “Sponsored OSS”, todas distinguibles a través de los siguientes símbolos:

• Siempre verificar que se encuentra en la página del repositorio adecuado confirmando la URL además del símbolo indicativo de la legitimidad del repositorio, como por ejemplo: 

Apreciación

Los actores de amenaza buscan cada vez más plataformas legítimas para ocultar su contenido malicioso, es por ello que se debe estar muy atento de la confiabilidad de los repositorios antes de efectuar acciones con el mismo, de manera tal, que se pueda reducir la superficie de ataque que pueden operar los actores maliciosos para efectuar este tipo de campañas. 

En la misma línea, es igualmente importante dentro de las políticas de seguridad que se implementen tanto a nivel personal como corporativo; la constante capacitación y concientización de los usuarios en temas de seguridad, sobre todo a los desarrolladores que cada vez se convierten en el blanco de los actores de amenaza, por ser consideradas un enlace directo para acceder a la infraestructura de la organización.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No abrir archivos de Microsoft Office que contengan MACROS hasta obtener confirmación del remitente y verificar que el envío sea bajo estrictas políticas de seguridad como por ejemplo: archivo cifrado, contraseña enviada por otro medio, contacto directo con el remitente.
• Utilizar el principio de menor privilegio, que trata de dividir el uso del sistema en dos cuentas, una estándar para uso diario que incluya las mínimas funciones posibles y otra cuenta de administrador que permita acceder al núcleo de su dispositivo.
• Tener atención y evitar extensiones como “exe”, “vbs” y “scr”. Es necesario vigilar este tipo de archivos, ya que podrían ser peligrosos. Un atacante podría utilizar diversas extensiones para enmascarar archivos maliciosos como un vídeo, foto, o un documento como: (reporte-clientes.doc.scr).
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
• Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.