Siber Muhbir

Araştırmacılar Abdelrahman Esmail ve Sunil Bharti, bugün yayınlanan teknik bir raporda, "Bu saldırıda tehdit aktörü, güvenlik çözümlerinden kaçmak ve kripto madenciliği operasyonlarını Docker ana bilgisayarında yürütmek için h2c üzerinden gRPC protokolünü kullandı" dedi.

"Saldırgan önce Docker API'sinin kullanılabilirliğini ve sürümünü kontrol etti, ardından Docker işlevlerini manipüle etmek için gRPC/h2c yükseltmeleri ve gRPC yöntemleri için isteklerle devam etti."

Her şey, saldırganın h2c protokolüne bir bağlantı yükseltme isteğini (yani, HTTP/2 sans TLS şifrelemesi) takip etmek için halka açık Docker API ana bilgisayarlarını ve HTTP/2 protokol yükseltmelerinin kullanılabilirliğini kontrol etmek için bir keşif süreci yürütmesiyle başlar.

Düşman ayrıca durum denetimleri, dosya eşitleme, kimlik doğrulaması, gizli dizi yönetimi ve SSH iletme ile ilgili olanlar da dahil olmak üzere Docker ortamlarını yönetme ve çalıştırmayla ilgili çeşitli görevleri gerçekleştirmek için tasarlanmış gRPC yöntemlerini denetlemeye devam eder.

Sunucu bağlantı yükseltme isteğini işledikten sonra, bir kapsayıcı oluşturmak ve ardından GitHub'da barındırılan SRBMiner yükünü kullanarak XRP kripto para birimini çıkarmak için kullanmak için bir "/moby.buildkit.v1.Control/Solve" gRPC isteği gönderilir.

Araştırmacılar, "Bu davadaki kötü niyetli aktör, SRBMiner kripto madencisini Docker ana bilgisayarına dağıtmak ve XRP kripto para birimini yasa dışı olarak çıkarmak için birkaç güvenlik katmanını etkili bir şekilde atlayarak h2c üzerinden gRPC protokolünden yararlandı" dedi.

Açıklama, siber güvenlik şirketinin, saldırganların perfctl kötü amaçlı yazılımını dağıtmak için açıkta kalan Docker uzak API sunucularından yararlandığını da gözlemlediğini söylemesinin ardından geldi. Kampanya, bu tür sunucular için araştırma yapmayı, ardından "ubuntu:mantic-20240405" görüntüsüyle bir Docker kapsayıcısı oluşturmayı ve Base64 kodlu bir yük yürütmeyi gerektirir.

Kabuk betiği, kendisinin yinelenen örneklerini kontrol etmenin ve sonlandırmanın yanı sıra, bir PHP dosyası ("avatar.php") gibi görünen kötü amaçlı bir ikili dosyayı indirmekten sorumlu başka bir Base64 kodlu yük içeren bir bash betiği oluşturur ve bu ayın başlarında Aqua'dan gelen bir raporu yineleyerek httpd adlı bir yük sunar.

Kullanıcıların, yetkisiz erişimi önlemek, olağandışı etkinliklere karşı onları izlemek ve kapsayıcı güvenliği en iyi uygulamalarını uygulamak için güçlü erişim denetimleri ve kimlik doğrulama mekanizmaları uygulayarak Docker uzak API sunucularının güvenliğini sağlamaları önerilir.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.