Docker sunucuları, devam eden kripto madenciliği kötü amaçlı yazılım kampanyasında saldırıya uğradı

Madencilik
tarafından admin
0


Linux sunucularındaki Docker API’leri, Lemon_Duck botnet operatörlerinin büyük ölçekli bir Monero kripto madenciliği kampanyası tarafınca hedefleniyor.

Kripto madenciliği çeteleri, son yıllarda bildirilen oldukca sayıda toplu sömürü kampanyasıyla, güvenliği zayıf yada yanlış yapılandırılmış Docker sistemleri için devamlı bir tehdit oluşturuyor.

Bilhassa LemonDuck, daha ilkin savunmasız Microsoft Exchange sunucularından yararlanmaya odaklanıyordu ve bundan ilkin SSH kaba kuvvet saldırıları yöntemiyle Linux makinelerini, SMBGhost’a karşı savunmasız Windows sistemlerini ve Redis ve Hadoop örneklerini çalıştıran sunucuları hedef aldı.

Bugün gösterilen bir Crowdstrike raporuna nazaran, devam eden Lemon_Duck kampanyasının arkasındaki tehdit aktörü cüzdanlarını proxy havuzlarının arkasına saklıyor.

Kampanya ayrıntıları

Lemon_Duck, açıkta kalan Docker API’lerine erişim kazanır ve PNG görüntüsü olarak gizlenmiş bir Bash komut dosyasını getirmek için kötü amaçlı bir kapsayıcı çalıştırır.

Kötü amaçlı bir cronjob ekleme
Kötü amaçlı bir cronjob ekleme (kitle vuruşu)

Yük, aşağıdaki eylemleri gerçekleştiren bir Bash dosyasını (a.asp) indirmek için kapsayıcıda bir cronjob oluşturur:

  • Malum madencilik havuzlarının adlarına, rakip kripto madenciliği gruplarına vb. dayalı işlemleri sonlandırın.
  • Crond, sshd ve syslog şeklinde cinleri öldürün.
  • Malum güvenlik açığı göstergesi (IOC) dosya yollarını silin.
  • Rakip kripto madenciliği gruplarına ilişik olduğu malum C2’lere ağ bağlantılarını kati.
  • Örnekleri riskli etkinliklerden sakınan Alibaba Cloud seyretme hizmetini dönem dışı bırakın.
Alibaba Cloud monitörünü devre dışı bırakma
Alibaba Cloud monitörünü dönem dışı bırakma (kitle vuruşu)

Alibaba Cloud hizmetlerindeki koruma özelliklerinin dönem dışı bırakılması, daha ilkin bilinmeyen erkek oyuncular tarafınca kullanılan, Kasım 2021’de kripto madenciliği icra eden kötü amaçlı yazılımlarda gözlemlenmişti.

Yukarıdaki eylemleri çalıştırdıktan sonrasında, Bash betiği XMRig kripto madenciliği destek programını indirir ve aktörün cüzdanlarını proxy havuzlarının arkasına gizleyen bir yapılandırma dosyasıyla beraber çalıştırır.

Başlangıçta virüslü makine benimki için ayarlandıktan sonrasında, Lemon_Duck dosya sisteminde bulunan SSH anahtarlarından yararlanarak yanal hareket etmeye çalışır. Bunlar mevcutsa, saldırgan bu tarz şeyleri aynı bulaşma sürecini tekrarlamak için kullanır.

Dosya sisteminde SSH anahtarlarını arama
Dosya sisteminde SSH anahtarlarını arama (kitle vuruşu)

Docker tehditlerini denetim altında tutma

Bu kampanyaya paralel olarak Cisco Talos, TeamTNT’ye atfedilen ve Amazon Web Servislerinde açıkta kalan Docker API örneklerini de hedefleyen başka bir kampanya hakkında rapor veriyor.

Bu tehdit grubu ek olarak tespit edilmekten kaçınmak ve mümkün olduğunca uzun süre Monero, Bitcoin ve Ether madenciliği hayata geçirmeye devam etmek için bulut güvenlik hizmetlerini dönem dışı bırakmaya çalışıyor.

Docker API dağıtımlarını güvenli bir halde yapılandırma ihtiyacının mecburi olduğu açıktır ve yöneticiler, platformun en iyi uygulamalarını ve yapılandırmalarına karşı güvenlik önerilerini denetim ederek başlayabilir.

Ek olarak, tüm kapsayıcılarda kaynak tüketimi sınırlamaları belirleyin, katı görüntü kimlik doğrulama ilkeleri uygulayın ve minimum imtiyaz ilkelerini uygulayın.

admin 4017 Mesajları 0 yorumlar
Bunları da beğenebilirsin Yazarın diğer kitapları
Cevap bırakın

Bu web sitesi deneyiminizi geliştirmek için çerezleri kullanır. Bununla iyi olduğunuzu varsayacağız, ancak isterseniz vazgeçebilirsiniz. Kabul etmek Mesajları Oku

Gizlilik ve Çerez Politikası