Bilgisayar Korsanları Bulut Altyapılarına Saldırılar Başlattı

   Temmuz 6, 2023  Posted in GBHackers


Son araştırma, bulut ortamlarına karşı hala geliştirilmekte olan bir kampanya keşfetti.

Gelişen bu kampanya, Tsunami kötü amaçlı yazılımını, bulut kimlik bilgilerini ele geçirmeyi ve kaynakları ele geçirmeyi dağıtmak için açığa çıkan JupyterLab ve Docker API’lerine dağıtmak üzere tasarlanmış agresif bir bulut solucanıyla tutarlıdır.

CSN

Aqua Nautilus araştırmacıları, yanlış yapılandırılmış Docker API’sine sahip Honeyspot’ları saldırıya uğradığında ve raporlarını paylaştığında bu kampanyayı keşfetti.

Hâlâ geliştirme aşamasında olduğundan ve bulut tabanlı kaynaklara saldırmasıyla tanınan kötü şöhretli Team TNT olduğu tahmin edildiğinden.

Bulut Altyapılarına Yönelik Saldırılar

Başlangıçta, saldırgan yanlış yapılandırılmış bir sunucuyu (Docker API veya JupyterLab) tanımlar ve ek kurbanları taramak ve belirlemek için bir kapsayıcı dağıtır veya Komut Satırı Arayüzü (CLI) ile etkileşim kurar.

Bu süreç, kötü amaçlı yazılımı artan sayıda sunucuya yaymak için tasarlanmıştır. Bu saldırının ikincil yükü, bir kripto madencisi ve bir arka kapı içerir; ikincisi, tercih ettiği silah olarak Tsunami kötü amaçlı yazılımını kullanır.

  • shanidmk/jltest2 (güncellendi: 8 Haziran 2023): Amacı, açığa çıkan Jupyter Lab örneklerini tespit etmektir.
  • shanidmk/jltest (güncellendi: 8 Haziran 2023): Bu görüntü, make komutunu kullanarak Zgrab’ı derlemek için kullanılır.
  • shanidmk/sysapp (güncelleme: 25 Mayıs 2023): Bu, açığa çıkan Docker Daemon örneklerini arar ve bunlara saldırır.
  • shanidmk/blob (güncellendi: 24 Haziran 2023): Bu kapsayıcı görüntüsü, sysapp’ın güncellenmiş bir sürümüdür ve açıktaki Docker Daemon örneklerini bulmayı amaçlar. Bir kripto madencisi yayınlar ve arka kapı görevi gören Tsunami kötü amaçlı yazılımını içerir.

Bu kapsayıcı görüntüsü, üç katmandan oluşur; bir katman, kap başladığında başlatmak üzere tasarlanmış bir run.sh kabuk betiği içerir.

Başlangıçta, ortamlar için gerekli yardımcı programları güvence altına almak için bazı paketleri indirir.

Buna ek olarak, ZGrab uygulaması oluşturulmuş ve /bin kitaplığına taşınmıştır, bu da saldırganın afiş kapma gerçekleştirmesini sağlar.

Bu işlev daha sonra saldırganın Jupyter Lab ve Docker API’sini tanımlamasına yardımcı olacaktır.

Ardından, toplu tarama aracı, ‘http://Currently_found_IP_Address:8888/lab’ adresinde çalışan açık bir Jupyter Lab örneği olup olmadığını değerlendirmek için ZGrab tarafından kullanılacak IP’yi tarar ve yönlendirir.

Ortaya çıkan bilgiler JupyterLab.txt dosyasında düzenlenir ve depolanır; bu dosya daha sonra belirli bir komut aracılığıyla saldırganın C2 sunucusuna iletilir.

Son olarak, paylaşılan rapora göre, C2 sunucusu tarama için bir IP aralığı döndürdüğünde çalışacak döngü setini etkinleştirir.

IP adresinin ilk sekizlisi, daha sonra yaklaşık 16,7 milyon IP adresine eşit olan /8 CIDR aralığını tarayan saldırganın C2 sunucusuna gönderilen bir curl komutunun sonucuyla belirlenir.

HTTP_SOURCE ortam değişkeninin başlangıçta saldırgan tarafından kapsayıcı başlangıcında ayarlandığını unutmamak önemlidir.

Saldırgan, NGROK’u kullanarak altyapıyı gizleyebilir ve böylece kapatılma riskini en aza indirebilir.

önleme

  1. JupyterLab’ı kimlik doğrulaması olmadan çalıştırmadığınızdan emin olun, özellikle JupyterLab’ı çalıştırırken belirteç bayrağının boş bırakılmadığından emin olun.
  2. Docker API’nizin dünyaya açık olmadığını ve 0.0.0.0’dan gelen istekleri kabul edecek şekilde ayarlandığını doğrulayın.
  3. Docker arka plan programlarını ve bulut örneklerini uygun şekilde yapılandırın ve Docker ve bulut platformlarını güvenlik açıklarını gidermek için düzenli olarak güncelleyin ve yama yapın.
  4. Konteynerlerin, Docker arka plan programlarının ve bulut örneklerinin izinlerini ve yeteneklerini sınırlamak için en az ayrıcalık ilkesini uygulayın.
  5. Kök kullanıcı ve ayrıcalıklı moddan kaçınmak gibi minimum ayrıcalıklar kullanarak, kullandığınız görüntüleri ve kullanımlarını bildiğinizden emin olarak tarayın.
  6. Çoğunlukla kullanıcı eylemleriyle ilgili günlükleri araştırın, herhangi bir anormal eylem olup olmadığına bakın.

“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.



Source link