Siber Muhbir

Bulut güvenlik firması Aqua'nın tehdit istihbaratı direktörü Assaf Morag, Cuma günü yayınlanan bir raporda, "Grup şu anda savunmasız Docker arka plan programlarını, bir siber solucan olan Sliver kötü amaçlı yazılımını ve kripto madencilerini dağıtmak için hedefliyor ve kötü amaçlı yazılımlarını yaymak için altyapı olarak güvenliği ihlal edilmiş sunucuları ve Docker Hub'ı kullanıyor" dedi.

Saldırı etkinliği, bir kez daha tehdit aktörünün ısrarının ve taktiklerini geliştirme ve Docker ortamlarını tehlikeye atmak ve bunları bir Docker Swarm'a dahil etmek amacıyla çok aşamalı saldırılar düzenleme yeteneğinin bir kanıtıdır.

TeamTNT'nin kötü amaçlı yüklerini barındırmak ve dağıtmak için Docker Hub'ı kullanmanın yanı sıra, kurbanların hesaplama gücünü yasa dışı kripto para madenciliği için diğer taraflara sunduğu ve para kazanma stratejisini çeşitlendirdiği gözlemlendi.

Saldırı kampanyasının söylentileri, bu ayın başlarında Datadog'un virüslü Docker örneklerini bir Docker Swarm'a toplamak için kötü niyetli girişimleri ifşa etmesi ve bunun TeamTNT'nin işi olabileceğini ima etmesi ve aynı zamanda resmi bir atıf yapmaktan kaçınması üzerine ortaya çıktı. Ancak operasyonun tam kapsamı şu ana kadar net değildi.

Morag, Datadog'un "altyapıyı çok erken bir aşamada bulduğunu" ve keşiflerinin "tehdit aktörünü kampanyayı biraz değiştirmeye zorladığını" söyledi.

Saldırılar, masscan ve ZGrab kullanarak kimliği doğrulanmamış ve açıkta kalan Docker API uç noktalarının belirlenmesini ve bunların kripto madenci dağıtımı için kullanılmasını ve güvenliği ihlal edilmiş altyapının Mining Rig Rentals adlı bir madencilik kiralama platformunda başkalarına satılmasını ve bunları kendilerinin yönetme işinin etkin bir şekilde boşaltılmasını gerektiriyor, bu da yasadışı iş modelinin olgunlaşmasının bir işareti.

Spesifik olarak, bu, yaklaşık 16,7 milyon IP adresinde 2375, 2376, 4243 ve 4244 bağlantı noktalarında Docker daemon'larını tarayan bir saldırı komut dosyası aracılığıyla gerçekleştirilir. Daha sonra, kötü amaçlı komutlarla bir Alpine Linux görüntüsü çalıştıran bir kapsayıcı dağıtır.

Denetimleri altındaki güvenliği ihlal edilmiş bir Docker Hub hesabından ("nmlm99") alınan görüntü, istismar sonrası etkinlikleri başlatmak için Docker Gatling Gun ("TDGGinit.sh") adlı bir ilk kabuk betiğini de yürütür.

Aqua tarafından gözlemlenen dikkate değer bir değişiklik, virüslü sunuculara uzaktan komuta etmek için Tsunami arka kapısından açık kaynaklı Şerit komuta ve kontrol (C2) çerçevesine geçiştir.

Morag, "Ek olarak, TeamTNT, Chimaera, TDGG ve bioset (C2 operasyonları için) gibi yerleşik adlandırma kurallarını kullanmaya devam ediyor ve bu da bunun klasik bir TeamTNT kampanyası olduğu fikrini güçlendiriyor" dedi.

"Bu kampanyada TeamTNT, web sunucularına işaret etmek için anondns (AnonDNS veya Anonim DNS, DNS sorgularını çözerken anonimlik ve gizlilik sağlamak için tasarlanmış bir kavram veya hizmettir) kullanıyor."

Bulgular, Trend Micro'nun Prometei kripto madenciliği botnet'ini sunmak için isimsiz bir müşteriye karşı hedefli bir kaba kuvvet saldırısı içeren yeni bir kampanyaya ışık tuttuğu sırada geldi.

Şirket, "Prometei, Uzak Masaüstü Protokolü (RDP) ve Sunucu İleti Bloğu'ndaki (SMB) güvenlik açıklarından yararlanarak sistemde yayılıyor" dedi ve tehdit aktörünün kalıcılık oluşturma, güvenlik araçlarından kaçınma ve kimlik bilgisi dökümü ve yanal hareket yoluyla bir kuruluşun ağına daha derin erişim elde etme çabalarını vurguladı.

"Etkilenen makineler, kurbanın bilgisi olmadan güvenliği ihlal edilmiş makinelerde kripto para birimleri (Monero) madenciliği yapmak için kullanılabilecek bir madencilik havuzu sunucusuna bağlanıyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.