Siber Muhbir

Cado araştırmacıları Nate Bill ve Matt Muir, "Saldırganlar, 'oracleiv_latest' adlı bir görüntüden oluşturulmuş ve ELF yürütülebilir dosyası olarak derlenmiş Python kötü amaçlı yazılımı içeren kötü amaçlı bir Docker kapsayıcısı sunmak için bu yanlış yapılandırmadan yararlanıyor" dedi.

Kötü amaçlı etkinlik, saldırganların Docker Hub'dan kötü amaçlı bir görüntü almak için Docker'ın API'sine HTTP POST isteği kullanmasıyla başlar ve bu da bir komut ve kontrol (C&C) sunucusundan bir kabuk betiği (oracle.sh) almak için bir komut çalıştırır.

Oracleiv_latest, Docker için bir MySQL görüntüsü olduğunu iddia ediyor ve bugüne kadar 3.500 kez çekildi. Belki de çok şaşırtıcı olmayan bir şekilde, görüntü ayrıca bir XMRig madencisini ve yapılandırmasını aynı sunucudan almak için ek talimatlar içerir.

Bununla birlikte, bulut güvenlik firması, sahte konteyner tarafından gerçekleştirilen kripto para madenciliğine dair herhangi bir kanıt gözlemlemediğini söyledi. Kabuk betiği ise kısa ve özdür ve slowloris, SYN flood'ları ve UDP flood'ları gibi DDoS saldırılarını gerçekleştirmek için işlevler içerir.

Açıkta kalan Docker örnekleri, son yıllarda genellikle cryptojacking kampanyaları için kanal olarak kullanılan kazançlı bir saldırı hedefi haline geldi.

Araştırmacılar, "Geçerli bir uç nokta keşfedildikten sonra, akla gelebilecek herhangi bir hedefi gerçekleştirmek için kötü amaçlı bir görüntü çekmek ve ondan bir konteyner başlatmak önemsizdir" dedi. "Kötü amaçlı container'ı Docker'ın container görüntü kitaplığı olan Docker Hub'da barındırmak bu süreci daha da kolaylaştırıyor."

AhnLab Güvenlik Acil Durum Müdahale Merkezi'ne (ASEC) göre, savunmasız MySQL sunucuları Ddostf olarak bilinen Çin menşeli bir DDoS botnet kötü amaçlı yazılımının hedefi olarak ortaya çıktığı için sadece Docker değil.

ASEC, "Ddostf tarafından desteklenen komutların çoğu tipik DDoS botlarından gelenlere benzer olsa da, Ddostf'un ayırt edici bir özelliği, C&C sunucusundan yeni alınan bir adrese bağlanma ve belirli bir süre boyunca orada komutları yürütme yeteneğidir" dedi.

"Yeni C&C sunucusunda yalnızca DDoS komutları gerçekleştirilebilir. Bu, Ddostf tehdit aktörünün çok sayıda sisteme bulaşabileceği ve ardından DDoS saldırılarını bir hizmet olarak satabileceği anlamına geliyor."

Kaynak kodu 2016'da sızdırılan Mirai'ye dayanan hailBot, kiraiBot ve catDDoS gibi birkaç yeni DDoS botnet'inin ortaya çıkması daha da karmaşık hale geldi.

Siber güvenlik şirketi NSFOCUS, geçen ay yaptığı açıklamada, "Bu yeni geliştirilen Truva atları, kritik bilgileri gizlemek için yeni şifreleme algoritmaları sunuyor ya da canlıya geçiş sürecini değiştirerek ve daha gizli iletişim yöntemleri tasarlayarak kendilerini daha iyi gizliyor" dedi.

Bu yıl yeniden ortaya çıkan bir başka DDoS kötü amaçlı yazılımı, Linux cihazlarına bulaşan ve ilgilenilen hedeflere yönelik DDoS saldırıları için onları "zombilere dönüştüren" XorDdos'tur.

Palo Alto Networks Unit 42, kampanyanın Temmuz 2023'ün sonlarında başladığını ve 12 Ağustos 2023 civarında zirveye ulaştığını söyledi.

Şirket, "Kötü amaçlı yazılım bir cihaza başarılı bir şekilde sızmadan önce, saldırganlar, hedeflerindeki potansiyel güvenlik açıklarını belirlemek için HTTP istekleri kullanarak bir tarama süreci başlattı" dedi. "Tehdit, tespit edilmekten kaçınmak için sürecini mevcut kullanıcı oturumundan bağımsız olarak çalışan bir arka plan hizmetine dönüştürüyor."