Bilgisayar korsanları, ana bilgisayarların keşfedilmesini ve ele geçirilmesini otomatikleştiren yeni Golang tabanlı kötü amaçlı yazılımla Apache Hadoop YARN, Docker, Confluence veya Redis çalıştıran yanlış yapılandırılmış sunucuları hedefliyor.
Kampanyada kullanılan kötü amaçlı araçlar, yapılandırma zayıflıklarından yararlanıyor ve makinede kod yürütmek için Atlassian Confluence'daki eski bir güvenlik açığından yararlanıyor.
Bulut adli tıp ve olay müdahale şirketi Cado Security'deki araştırmacılar kampanyayı keşfetti ve saldırılarda, bash komut dosyalarında ve Golang ELF ikili dosyalarında kullanılan yükleri analiz etti.
Araştırmacılar, izinsiz giriş setinin daha önce bildirilen bulut saldırılarına benzer olduğunu ve bunların bazılarının TeamTNT, WatchDog ve Kiss-a-Dog gibi tehdit aktörlerine atfedildiğini belirtiyor.
Sunucuda Alpine Linux tabanlı yeni bir konteynerin oluşturulduğu Docker Engine API bal küpüne ilişkin ilk erişim uyarısını aldıktan sonra saldırıyı araştırmaya başladılar.
Sonraki adımlarda tehdit aktörü, bir kripto para madencisini kurmak, kalıcılık oluşturmak ve ters kabuk oluşturmak için birden fazla kabuk komut dosyasına ve yaygın Linux saldırı tekniklerine güveniyor.
Hedef keşfi için yeni Golang kötü amaçlı yazılımı
Araştırmacılara göre bilgisayar korsanları, Hadoop YARN (h.sh), Docker (d.sh), Kavşak (w.sh) ve Redis (c.sh).
Yüklerin adları muhtemelen onları bash betikleri olarak gizlemek için kötü bir girişimdir. Ancak bunlar 64 bit Golang ELF ikili dosyalarıdır.
“İlginç bir şekilde, kötü amaçlı yazılım geliştiricisi ikili dosyaları kaldırmayı ihmal ederek DWARF hata ayıklama bilgilerini olduğu gibi bıraktı. İkili dosyalar içindeki dizeleri veya diğer hassas verileri gizlemek için de hiçbir çaba gösterilmedi, bu da onları tersine mühendislik açısından önemsiz hale getiriyor” – Cado Security
Bilgisayar korsanları, bu kampanyanın hedefleri için varsayılan olan 2375, 8088, 8090 veya 6379 numaralı açık bağlantı noktalarını bulmak üzere bir ağ segmentini taramak için Golang araçlarını kullanıyor.
“w.sh” durumunda, Confluence sunucusu için bir IP adresi bulduktan sonra, uzaktaki saldırganların kimlik doğrulamaya ihtiyaç duymadan kod yürütmesine olanak tanıyan kritik bir güvenlik açığı olan CVE-2022-26134'e yönelik bir açıktan yararlanılır.
Keşfedilen başka bir Golang veri yüküne “fkoths” adı veriliyor ve görevi, Docker görüntülerini Ubuntu veya Alpine depolarından silerek ilk erişimin izlerini kaldırmak.
Cado Security, saldırganın, gizliliği daha da ileri taşımak, ana bilgisayardaki adli faaliyetleri önlemek ve Monero kripto para birimi için popüler XMRig madencilik uygulaması da dahil olmak üzere ek yükler getirmek için “ar.sh” adı verilen daha büyük bir kabuk komut dosyası kullandığını tespit etti.
Komut dosyası ayrıca, saldırganın virüslü sisteme erişimini sürdürmesine, Golang tabanlı ters kabuk Platypus'u almasına ve SSH anahtarlarını ve ilgili IP adreslerini aramasına olanak tanıyan bir SSH anahtarı da ekler.
Kampanyadaki yüklerin çoğu Virus Total tarama platformundaki antivirüs motorları tarafından kötü amaçlı olarak işaretlenirken, hedef hizmetleri keşfetmeye yönelik dört Golang ikili dosyası neredeyse algılanamıyor.
Yüklerden ikisi, w.sh Ve c.sh, platformdaki 10'dan az antivirüs motoru tarafından tespit ediliyor ve en erken gönderim tarihi 11 Aralık 2023, bu da kampanyanın başlangıcına işaret edebilir. Diğer ikisi platformda fark edilmiyor.
Cado Security, kampanyada keşfedilen tüm yüklerin yanı sıra ilgili risk göstergelerine ilişkin teknik bir analiz paylaştı.