Docker Swarm ve Kubernetes’in her ikisi de konteyner düzenleme araçlarıdır ancak farklı kullanım senaryolarına hizmet ederler. Kümelerdeki düğümlere uzaktan erişimi yönetmek ve güvence altına almak için bu düzenleme araçlarıyla birlikte SSH sunucuları da kullanılabilir.
DataDog güvenlik laboratuvarı araştırmacıları yakın zamanda bilgisayar korsanlarının Docker Swarm, Kubernetes ve SSH sunucularından büyük ölçekte aktif olarak yararlandığını tespit etti.
Yeni keşfedilen kötü amaçlı yazılım kampanyası, “Docker” ve “Kubernetes” ortamlarına odaklanıyor ve “İlk erişim vektörü” olarak “Docker API” uç nokta güvenlik açıklarını kullanıyor.
Bilgisayar Korsanları Sunucuları Büyük Ölçekte Sömürüyor
Tehdit aktörleri, güvenliği ihlal edilmiş konteynerlere “kripto para madenciliği yazılımı” yükler ve bunlardan yanal olarak ikincil saldırılar başlatır.
Bu kötü amaçlı yükler, “Kubernetes kubelet API’sini” hedef alıyor ve tehdit aktörlerinin daha fazla kaynak genişletmesine ve daha fazla virüs dağıtmasına olanak tanıyor. Hatta kampanya, kötü amaçlı yazılımı paylaşmak için bir docker hub’ından da yararlanıyor.
“nmlmweb3” adı altında kötü amaçlı depoların kullanıcı adları bulunmaktadır.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin
Saldırganlar, açığa çıkan docker API’lerine bir komut vererek, bir “Alpine kapsayıcısı” oluşturarak ve bir “başlatma komut dosyası” (“init.sh”) çalıştırarak diziyi başlatır.
Bu komut dosyası “XMRig madencisini yükler”, “işlem gizleme tekniklerini” uygular ve “ek yükler getirir.”
Yanal hareket, “Kubernetes” ‘kube.lateral.sh,’ “Docker” ‘spread_docker_local.sh’ ve “SSH” ‘spread_ssh.sh’ye yönelik komut dosyaları aracılığıyla etkinleştirilir.
Kötü amaçlı yazılım, “masscan” ve “zgrab” gibi çeşitli araçlarla taramanın yanı sıra, savunmasız uç noktaları aramak için ağı da tarar.
Kötü amaçlı yazılım, madencilik programlarının dağıtıldığı bağlamı doğrular. ‘Güvenlik özelliklerini’ kapatır, ‘madencilik programlarını ekler’ ve ‘diğer makinelere yayılmaya çalışır.’
Kampanya ayrıca failin bulut hizmetlerini kullanmasını da kapsıyor; “GitHub” ve “Codespaces” gibi benzer hedeflemeler yapılıyor ve ardından kimlik bilgileri dosyaları aranıyor.
Kötü amaçlı yazılım, saldırı boyunca yalnızca çok sayıda “kaçış tekniği” kullanmakla kalmıyor, aynı zamanda “kalıcılık mekanizmalarını” sürdürmek için çeşitli stratejiler uygulamaya çalışıyor.
Bu olayda, tehdit aktörleri erişim kazanmak için başlangıçta açıkta kalan “Docker API uç noktalarından” yararlanarak “çok aşamalı bir yaklaşım” kullandılar.
Daha sonra “init.sh”, “kube.lateral.sh” ve “setup_xmr.sh” gibi çeşitli kötü amaçlı yükleri konuşlandırdılar ve bu da “yanal hareketi” ve “kaynakların ele geçirilmesini” kolaylaştırdı.
Birincil hedef, XMRig madencisini kullanarak “Monero kripto para birimini” çıkarmak için “kripto hırsızlığı” yapmaktı. Saldırganlar, güvenliği ihlal edilmiş sistemlerden oluşan botnet benzeri bir ağ oluşturmak için “Docker Swarm”ı manipüle ederek gelişmiş taktikler gösterdi.
Kalıcılık için ‘iptables kurallarını değiştiren’, ‘sistem yapılandırmalarını ayarlayan’ ve ‘SSH arka kapılarını yükleyen’ “ar.sh” ve “pdflushs.sh” gibi komut dosyalarını da kullandılar.
Kampanya, kötü amaçlı süreçleri gizlemek için “libprocesshider” kullanmak gibi karmaşık kaçınma tekniklerini gösterdi.
Altyapı analizi solscan ile bağlantıları ortaya çıkardı[. ]live, komuta ve kontrol (C2) ve yük dağıtımı için kullanılan bir alan adı.
Bazı taktikler, bilinen bir tehdit grubu olan “TeamTNT”ye atfedilenlerle örtüşüyor. Ancak burada nihai atıf hâlâ “belirsiz” kalıyor.
Bu saldırı, “Docker” ve “Kubernetes” dağıtımlarının korunmasında güçlü güvenlik önlemlerine duyulan ihtiyacı gösteriyor.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Web Semineri