Yanlış yapılandırılmış Docker örnekleri, Tor anonimlik ağını, duyarlı ortamlarda gizli bir şekilde kripto para birimini kullanan bir kampanyanın hedefidir.
Trend mikro araştırmacılar Sunil Bharti ve Shubham Singh, geçen hafta yayınlanan bir analizde, “Saldırganlar, konteyner ortamlarına erişim sağlamak için yanlış yapılandırılmış Docker API’lerini kullanıyor, daha sonra kripto madencilerini kullanırken faaliyetlerini maskelemek için TOR kullanıyorlar.” Dedi.
Tor’u kullanırken, fikir, uzlaşılmış sistemlere madencinin kurulumu sırasında kökenlerini anonimleştirmektir. Siber güvenlik şirketine göre saldırılar, 198.199.72 IP adresinden bir taleple başlıyor[.]27 Makinedeki tüm kapların listesini almak için.
Hiçbir kap bulunmazsa, saldırgan “Alpine” Docker görüntüsüne dayanan yeni bir tane oluşturmaya devam eder ve fiziksel veya sanal ana makinenin kök dizinini (“https://thehackernews.com/”) monte eder. Bu davranış, kapsayıcının ana bilgisayar sistemindeki dosyalara ve dizinlere erişmesine ve değiştirmesine izin vererek bir kaptan kaçmaya neden olduğu için güvenlik riskleri oluşturur.
Tehdit aktörleri daha sonra, oluşturma isteğinin bir parçası olarak konteynere ayarlamak için temel 64 kodlu bir kabuk komut dosyası çalıştırmayı içeren dikkatli bir şekilde düzenlenmiş bir eylem dizisi yürütür ve sonuçta bir .onion alanından (“wtxqf54djhp5pskv2lfyduub5ievxbyvlzggad63[.]soğan”)
Araştırmacılar, “Saldırganlar tarafından komuta ve kontrol (C&C) altyapısını gizlemek, tespitten kaçınmak ve tehlikeye atılan bulut veya konteyner ortamlarında kötü amaçlı yazılım veya madenciler sunmak için kullanılan yaygın bir taktiği.” Dedi. “Ayrıca, saldırgan, gelişmiş anonimlik ve kaçırma için TOR aracılığıyla tüm trafiği ve DNS çözünürlüğünü yönlendirmek için ‘SOCKS5H’ kullanıyor.”
Konteyner oluşturulduktan sonra, “Docker-Init.sh” kabuk komut dosyası dağıtılır, bu da daha sonra daha önce monte edilen “/Hostroot” dizini kontrol eder ve kök girişini etkinleştirerek ve ~/.ssh/yetkili_keys dosyasına bir saldırgan kontrollü SSH tuşunu ekleyerek uzaktan erişim ayarlamak için sistemin SSH yapılandırmasını değiştirir.
Tehdit oyuncusu, Masscan, LIBPCAP, ZSTD ve torsocks gibi çeşitli araçları, enfekte sistemle ilgili C&C sunucusu ayrıntılarına işaret ettiği ve nihayetinde XMRIG kripto para madencisi için gerekli madencilik konfigürasyonu, cüzdan toplama adresi ve madencilik havuzu Urls’leri için bir damlalık görevi gördüğü bulunmuştur.
“Bu yaklaşım, saldırganların tespit edilmesinden kaçınmasına yardımcı olur ve tehlikeye atılan ortamlarda konuşlandırmayı basitleştirir.”
Bulgular, kriptajlama amaçları için yanlış yapılandırılmış veya kötü güvenli bulut ortamlarını hedefleyen siber saldırıların devam eden bir eğilimine işaret ediyor.
Geliştirme, Wiz’in bir kamu kodu depolarının taranmasının MCP.JSON, .Env ve AI aracı yapılandırma dosyaları ve Python defterleri (.IPynb) ‘de yüzlerce onaylanmış sırları ortaya çıkardığını ve bunları saldırganlar için bir hazine trow’a dönüştürdüğünü açıkladığı gibi geliyor.
Bulut güvenlik firması, Fortune 100 şirketlerine ait olanlar da dahil olmak üzere 30’dan fazla şirkete ve girişimlere ait geçerli sırlar bulduğunu söyledi.
Araştırmacılar Shay Berkovich ve Rami McCarthy, “Sadece sırların ötesinde, kod yürütme Python dizüstü bilgisayarlarında genellikle hassas olarak ele alınmalıdır.” Dedi. “İçerikleri, bir geliştiricinin kuruluşu ile ilişkili ise, kötü niyetli aktörler için keşif detayları sağlayabilir.”