DarkTrace’in Honeypot verilerine göre en sık saldırıya uğramış hizmetlerden biri olan yakın zamanda ortaya çıkan bir kötü amaçlı yazılım kampanyası, şaşkınlık ve kriptajlama yöntemlerinde şaşırtıcı bir sofistike düzeyde ortaya çıktı.
Bu yeni saldırı, Docker Hub’dan, özellikle Kazutod/Tene: Ten görüntüden bir konteyner başlatmak için zararsız bir istekle başlar.
Sofistike saldırı, gelişmiş yük gizleme ile Docker Hub’ı hedefler
Analistler, Docker’ın görüntü katmanlarını çekmek ve çıkarmak için yerleşik araçlardan yararlanarak, konteynerin Ten.py adlı bir Python komut dosyası yürüttüğünü keşfetti.
.png
)
Bu kampanyayı ayıran şey, bu komut dosyasındaki kötü amaçlı yükü gizlemek için kullanılan karmaşık gizleme tekniğidir.
Komut dosyası, Base64 kodlu bir dizeyi tersine çevirmek, kodunu çözmek ve sonucu Python kodu olarak yürütmeden önce ZLIB aracılığıyla kutlamak için bir lambda işlevi kullanan çok katmanlı bir yaklaşım kullanır.
Bu süreç, 63’ten fazla yinelemeyi tekrarlıyor, bu da imza tabanlı tespiti engellemeyi ve analistler tarafından tersine mühendislik çabalarını hayal kırıklığına uğratmayı amaçlayan kasıtlı bir taktik.
CryptoKacking merkezi olmayan ağ sömürüsü ile gelişir
Tahkimatsız kodu daha derinlemesine inceleyerek, kötü amaçlı yazılımların amacı netleşir: Teneo ile bir bağlantı kurar[.]Merkezi olmayan veri ağlarına odaklanan meşru bir Web3 girişimi olan Pro.
Teneo, kullanıcıları sosyal medya verilerini kazıyan düğümler karşılığında özel bir kripto jetonu olan “Teneo Points” ile ağına katılmaya teşvik eder.
Bununla birlikte, bu kötü amaçlı yazılım, bir WebSocket aracılığıyla bağlanarak ve herhangi bir kazıma gerçekleştirmeden keep-akış pingleri göndererek, kalp atışı sayımlarına dayalı olarak yasadışı noktalar biriktirir.
Bu, doğrudan kripto para birimleri maden yapan ve güvenlik sistemleri tarafından yaygın olarak tespit edilen XMRIG gibi geleneksel kriptaj araçlarından bir değişimi temsil eder.
Bunun yerine, saldırganlar artık, benzer kapların Nexus gibi diğer dağıtılmış ağlar için istemcileri yürüttüğü saldırganın Docker Hub profilinde de görülen bir trend olan, kâr için meşru merkezi olmayan platformları kaçırıyorlar.
Bu yöntemin kârlılığı, Teneo’nun Coingecko’da “Yalnızca Önizleme” olarak listelenen belirtisi ile görüldüğü gibi, özel jetonların opak doğası ve kamuya açık fiyatlandırma verilerinin olmaması nedeniyle belirsizliğini korumaktadır.
Rapora göre, bu kampanya kötü amaçlı yazılım taktiklerinin kalıcı evriminin, özellikle de gizlenme ve kriptajlama alanında altını çiziyor.
Kodlanmış yüklerin aşırı katmanlaması, tespiti atlamak için gereksiz görünmese de, tehdit aktörlerinin kodlarını incelemeden korumak için gidecekleri uzunlukları vurgular.
Sistem yöneticileri için bu, Docker’ın bir ana hedef olarak savunmasızlığını kritik bir hatırlatma görevi görür.
Docker hizmetlerini sağlam kimlik doğrulama ve güvenlik duvarı korumaları olmadan internete maruz bırakmak, endişe verici frekansla saldırılar meydana geldikçe uzlaşma için bir reçetedir. Kısa maruz kalma bile önemli ihlallere yol açabilir.
Saldırganlar yasadışı kazanç için meşru araçları kötüye kullanarak yenilik yapmaya devam ettikçe, gelişmiş algılama mekanizmalarına ve proaktif güvenlik önlemlerine duyulan ihtiyaç hiç bu kadar acil olmamıştır.
Bu vaka sadece analistler için ihmal becerilerinin önemini göstermekle kalmaz, aynı zamanda geleneksel saldırı vektörlerinin yerini sinsi, gizli stratejilerle değiştirdiği siber tehdit manzarasında daha geniş bir değişime işaret eder.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!