Siber Muhbir

Cado güvenlik araştırmacıları Nate Bill ve Matt Muir, bugün yayınlanan yeni bir raporda, "Kampanya, Komando projesi kullanılarak oluşturulan iyi huylu bir konteyneri kullanıyor" dedi. "Saldırgan bu kapsayıcıdan kaçar ve Docker ana bilgisayarında birden çok yük çalıştırır."

Kampanyanın 2024'ün başından beri aktif olduğuna inanılıyor ve bu da onu aylar içinde keşfedilen ikinci kampanya haline getiriyor. Ocak ayının ortalarında, bulut güvenlik firması, XMRig kripto para madencisinin yanı sıra 9Hits Viewer yazılımını dağıtmak için savunmasız Docker ana bilgisayarlarını hedefleyen başka bir etkinlik kümesine de ışık tuttu.

Commando Cat, kalıcılığı kaydetmekten, ana bilgisayara arka kapı açmaktan, bulut hizmeti sağlayıcısı (CSP) kimlik bilgilerini sızdırmaktan ve madenciyi başlatmaktan sorumlu olan aktör tarafından kontrol edilen bir sunucudan birbirine bağlı yüklerin bir koleksiyonunu sunmak için ilk erişim vektörü olarak Docker'ı kullanır.

Hassas Docker örneklerini ihlal ederek elde edilen dayanak, daha sonra Commando açık kaynak aracını kullanarak zararsız bir kapsayıcı dağıtmak ve chroot komutu aracılığıyla kapsayıcının sınırlarından kaçmasına izin veren kötü amaçlı bir komut yürütmek için kötüye kullanılır.

Ayrıca, güvenliği aşılmış sistemde "sys-kernel-debugger", "gsc", "c3pool_miner" ve "dockercache" adlı hizmetlerin etkin olup olmadığını belirlemek için bir dizi denetim çalıştırır ve yalnızca bu adım geçerse bir sonraki aşamaya geçer.

Araştırmacılar, "sys-kernel-debugger kontrolünün amacı belirsiz – bu hizmet kötü amaçlı yazılımın hiçbir yerinde kullanılmıyor ve Linux'un bir parçası değil" dedi. "Hizmetin, saldırganın rekabet etmek istemediği başka bir kampanyanın parçası olması mümkündür."

Sonraki aşama, ~/.ssh/authorized_keys dosyasına bir SSH anahtarı ekleyebilen ve saldırgan tarafından bilinen bir parolayla "games" adlı sahte bir kullanıcı oluşturabilen ve bunu /etc/sudoers dosyasına dahil edebilen bir kabuk komut dosyası arka kapısı (user.sh) dahil olmak üzere komuta ve kontrol (C2) sunucusundan ek yüklerin bırakılmasını gerektirir.

Benzer şekilde, Tiny SHell'i ve netcat'in gs-netcat adlı doğaçlama bir sürümünü bırakmak ve kimlik bilgilerini sızdırmak için tasarlanmış üç kabuk betiği daha (tshd.sh, gsc.sh, aws.sh) daha teslim edilir

Muir, verdiği demeçte, tehdit aktörlerinin "yükü kendi C2 altyapılarından alan cmd.cat/chattr konteynerinde bir komut çalıştırdığını" söyledi ve bunun curl veya wget kullanılarak ve elde edilen yükü doğrudan bash komut kabuğuna aktararak elde edildiğini belirtti.

Araştırmacılar, "/tmp kullanmak yerine, [gsc.sh] bunun yerine geçici bir dosya deposu görevi gören ancak bunun yerine bellek destekli /dev/shm kullanıyor" dedi. "Kötü amaçlı yazılımların /tmp kullanması çok daha yaygın olduğu için bunun bir kaçınma mekanizması olması mümkündür."

"Bu aynı zamanda eserlerin diske dokunmamasına neden oluyor ve adli tıbbı biraz daha zorlaştırıyor. Bu teknik daha önce BPFdoor'da (yüksek profilli bir Linux kampanyası) kullanılmıştı."

Saldırı, C2 sunucusundan alınmak yerine doğrudan Base64 kodlu bir komut dosyası olarak teslim edilen başka bir yükün konuşlandırılmasıyla sonuçlanır ve bu da XMRig kripto para madencisini düşürür, ancak virüslü makineden rakip madenci işlemlerini ortadan kaldırmadan önce değil.

Commando Cat'in arkasındaki tehdit aktörünün kesin kökenleri şu anda belirsizdir, ancak kabuk komut dosyalarının ve C2 IP adresinin geçmişte TeamTNT gibi cryptojacking gruplarıyla bağlantılı olanlarla örtüştüğü gözlemlenmiştir ve bu da taklitçi bir grup olma olasılığını artırmaktadır.

Araştırmacılar, "Kötü amaçlı yazılım, hepsi bir arada bir kimlik bilgisi hırsızı, son derece gizli arka kapı ve kripto para madencisi olarak işlev görüyor" dedi. "Bu, onu çok yönlü hale getiriyor ve virüslü makinelerden mümkün olduğunca fazla değer elde edebiliyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.