'Commando Cat' Cryptojacking Kampanyasında Saldırı Altında Açığa Çıkan Docker API'leri
İnternet üzerinden açığa çıkan Docker API uç noktaları, Commando Cat adlı karmaşık bir cryptojacking kampanyasının saldırısı altında.
Cado güvenlik araştırmacıları Nate Bill ve Matt Muir, bugün yayınlanan yeni bir raporda, "Kampanya, Komando projesi kullanılarak oluşturulan iyi huylu bir konteyneri kullanıyor" dedi. "Saldırgan bu kapsayıcıdan kaçar ve Docker ana bilgisayarında birden çok yük çalıştırır."
Kampanyanın 2024'ün başından beri aktif olduğuna inanılıyor ve bu da onu aylar içinde keşfedilen ikinci kampanya haline getiriyor. Ocak ayının ortalarında, bulut güvenlik firması, XMRig kripto para madencisinin yanı sıra 9Hits Viewer yazılımını dağıtmak için savunmasız Docker ana bilgisayarlarını hedefleyen başka bir etkinlik kümesine de ışık tuttu.
Commando Cat, kalıcılığı kaydetmekten, ana bilgisayara arka kapı açmaktan, bulut hizmeti sağlayıcısı (CSP) kimlik bilgilerini sızdırmaktan ve madenciyi başlatmaktan sorumlu olan aktör tarafından kontrol edilen bir sunucudan birbirine bağlı yüklerin bir koleksiyonunu sunmak için ilk erişim vektörü olarak Docker'ı kullanır.
Hassas Docker örneklerini ihlal ederek elde edilen dayanak, daha sonra Commando açık kaynak aracını kullanarak zararsız bir kapsayıcı dağıtmak ve chroot komutu aracılığıyla kapsayıcının sınırlarından kaçmasına izin veren kötü amaçlı bir komut yürütmek için kötüye kullanılır.
Ayrıca, güvenliği aşılmış sistemde "sys-kernel-debugger", "gsc", "c3pool_miner" ve "dockercache" adlı hizmetlerin etkin olup olmadığını belirlemek için bir dizi denetim çalıştırır ve yalnızca bu adım geçerse bir sonraki aşamaya geçer.
Araştırmacılar, "sys-kernel-debugger kontrolünün amacı belirsiz – bu hizmet kötü amaçlı yazılımın hiçbir yerinde kullanılmıyor ve Linux'un bir parçası değil" dedi. "Hizmetin, saldırganın rekabet etmek istemediği başka bir kampanyanın parçası olması mümkündür."
Sonraki aşama, ~/.ssh/authorized_keys dosyasına bir SSH anahtarı ekleyebilen ve saldırgan tarafından bilinen bir parolayla "games" adlı sahte bir kullanıcı oluşturabilen ve bunu /etc/sudoers dosyasına dahil edebilen bir kabuk komut dosyası arka kapısı (user.sh) dahil olmak üzere komuta ve kontrol (C2) sunucusundan ek yüklerin bırakılmasını gerektirir.
Benzer şekilde, Tiny SHell'i ve netcat'in gs-netcat adlı doğaçlama bir sürümünü bırakmak ve kimlik bilgilerini sızdırmak için tasarlanmış üç kabuk betiği daha (tshd.sh, gsc.sh, aws.sh) daha teslim edilir
Muir, verdiği demeçte, tehdit aktörlerinin "yükü kendi C2 altyapılarından alan cmd.cat/chattr konteynerinde bir komut çalıştırdığını" söyledi ve bunun curl veya wget kullanılarak ve elde edilen yükü doğrudan bash komut kabuğuna aktararak elde edildiğini belirtti.
Araştırmacılar, "/tmp kullanmak yerine, [gsc.sh] bunun yerine geçici bir dosya deposu görevi gören ancak bunun yerine bellek destekli /dev/shm kullanıyor" dedi. "Kötü amaçlı yazılımların /tmp kullanması çok daha yaygın olduğu için bunun bir kaçınma mekanizması olması mümkündür."
"Bu aynı zamanda eserlerin diske dokunmamasına neden oluyor ve adli tıbbı biraz daha zorlaştırıyor. Bu teknik daha önce BPFdoor'da (yüksek profilli bir Linux kampanyası) kullanılmıştı."
Saldırı, C2 sunucusundan alınmak yerine doğrudan Base64 kodlu bir komut dosyası olarak teslim edilen başka bir yükün konuşlandırılmasıyla sonuçlanır ve bu da XMRig kripto para madencisini düşürür, ancak virüslü makineden rakip madenci işlemlerini ortadan kaldırmadan önce değil.
Commando Cat'in arkasındaki tehdit aktörünün kesin kökenleri şu anda belirsizdir, ancak kabuk komut dosyalarının ve C2 IP adresinin geçmişte TeamTNT gibi cryptojacking gruplarıyla bağlantılı olanlarla örtüştüğü gözlemlenmiştir ve bu da taklitçi bir grup olma olasılığını artırmaktadır.
Araştırmacılar, "Kötü amaçlı yazılım, hepsi bir arada bir kimlik bilgisi hırsızı, son derece gizli arka kapı ve kripto para madencisi olarak işlev görüyor" dedi. "Bu, onu çok yönlü hale getiriyor ve virüslü makinelerden mümkün olduğunca fazla değer elde edebiliyor."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Amaçlı NPM Paketleri, SSH Arka Kapısı ile Geliştiricilerin Ethereum Cüzdanlarını Hedef Alıyor
Binance, Kripto Para Kullanıcılarını Hedef Alan Artan Clipper Kötü Amaçlı Yazılım Saldırılarına Karşı Uyardı
Rust Tabanlı P2PInfect Botnet, Madenci ve Fidye Yazılımı Yükleriyle Gelişiyor
ABD, Rusya'nın Yaptırımlardan Kaçmasına Yardım Ettiği İçin 3 Kripto Para Borsasına Yaptırım Uyguladı
Yeni Kimlik Avı Kiti, Kripto Para Birimi Kullanıcılarını Hedeflemek için SMS ve Sesli Aramalardan Yararlanıyor
Kuzey Koreli Bilgisayar Korsanları Kötü Amaçlı NPM Paketleriyle Geliştiricileri Hedef Alıyor
RustDoor macOS Backdoor, Kripto Para Firmalarını Sahte İş Teklifleriyle Hedefliyor
BTC-e ile Bağlantılı Belarus Vatandaşı 4 Milyar Dolarlık Kripto Para Aklama Suçundan 25 Yıl Hapis Cezasıyla Karşı Karşıya