Spinning YARN’ın arkasındaki saldırganlar, yeni ikili dosyalar chkstart (veri yükü yürütme ile uzaktan erişim), exeremo (SSH üzerinden yanal hareket) ve vurld (kötü amaçlı yazılımların alınması için Go indiricisi) ve bir kalıcılık mekanizması kullanarak halka açık Docker Engine ana bilgisayarlarını hedef alan yeni bir cryptojacking kampanyası başlattı. Kötü amaçlı komutlar için sistemd hizmetlerini ExecStartPost ile değiştirir.
Kimlik doğrulama olmadan Docker API uç noktalarını hedefler ve TTP’leri Spinning YARN ile paylaşarak bunların bağlantılı olduğuna dair yüksek güven sağlarken, güncellenen veya değiştirilen yükler için adları yeniden kullanan bu kampanyaların evrimini anlamak için bireysel yüklerin analizi çok önemlidir.
Spinning YARN kötü amaçlı yazılım kampanyası, yanlış yapılandırılmış Docker, Apache Hadoop, Redis ve Confluence sunucularından yararlanarak açık bağlantı noktası 2375’i tarayıp ardından bir Alpine Linux konteyneri dağıtarak sisteme bulaşıyor.
Konteyner, kök dizini bağlayarak Docker ana bilgisayarından yararlanır ve saldırganın sisteme tam erişimini sağlar.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot
Saldırgan daha sonra kötü amaçlı kabuk komut dosyalarını alıp yürüten cron işlerini ekleyerek kalıcılığı yükler. Bu komut dosyaları, sonuçta güvenlik önlemlerini devre dışı bırakan, bilgileri çalan ve potansiyel olarak kripto madencilik yazılımı yükleyen ek araçlar ve yükler indirir.
Chkstart kötü amaçlı yazılımı, systemd birim dosyalarını değiştirerek bir Amazon Linux EC2 örneğinde kalıcılık oluşturur, “etkin” durumuna sahip systemd hizmetlerini arar ve başlatıldığında “top” adlı gizli bir ikili dosyayı yürütmek için kötü amaçlı bir komut (ExecStartPost) enjekte eder.
Datadog Güvenlik Araştırmacılarına göre, SSH arka plan programı yapılandırmasını belirli konumlardan SSH anahtarlarını kabul edecek şekilde değiştirerek saldırganın yetkisiz erişim için kendi anahtarını eklemesine olanak tanıyor.
Kalıcılık elde edildikten sonra, özel olarak oluşturulmuş bir XMRig kripto para madencisi olduğu ortaya çıkan “en üstteki” ikili, kripto madenciliği için tehlikeye atılan sistemin kaynaklarını kullanır.
Yanal Hareket:
Kötü amaçlı bir Go ikili programı olan Exeremo, ele geçirilen sunucuların kabuk geçmişinden, SSH yapılandırmalarından ve bilinen_anasistem dosyalarından kullanıcı adlarını, ana bilgisayar adlarını, SSH anahtarlarını ve bağlantı noktalarını çıkarır ve ardından bu bilgiyi diğer SSH sunucularına bağlanarak ve uzak bir kabuk komut dosyası çalıştırarak yanal olarak yaymak için kullanır. (ar.ş) üzerlerinde.
Exeremo ayrıca tarama araçlarını yükleyen ve özel bir Docker bulma yardımcı programını dağıtan başka bir komut dosyasını (s.sh) alır ve çalıştırır. s.sh, kötü amaçlı bir ikili dosyayı (sd) ortak bir HTTPD işlemi olarak gizler ve onu systemd kullanarak kalıcı olacak şekilde yapılandırır.
Yeni keşfedilen yüklerin (sd/httpd ve fkoths) her ikisi de Go ELF ikili dosyalarıdır. sd/httpd, savunmasız Docker Engine ana bilgisayarlarını tarar ve açıklanan teknikleri kullanarak bunlardan yararlanır.
fkoths, ilk bulaşma sırasında oluşturulan Docker görüntülerini kaldırır ve Spinning YARN kampanyasının sürekli gelişimini göstererek hosts dosyasını Docker kayıt defteriyle iletişimi engelleyecek şekilde değiştirir ancak yeni işlevler sunmaz.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free