Araştırmacılar, Apache Hadoop, Atlassian Confluence, Docker ve Redis'in savunmasız örneklerini çalıştıran bulut sunucularını hedef alan ortak bir siber saldırı kampanyası tespit etti. Saldırganlar bir kripto madenciliği aracı bırakıyor, aynı zamanda gelecekte potansiyel hedefleme ve kötü amaçlı yazılım istilasına izin verecek Linux tabanlı bir ters kabuk da kuruyor.
Cado Security'nin yaptığı bir analize göre, çoğu durumda saldırgan, istismar etmek için yaygın bulut yanlış yapılandırmalarını arıyor. Ancak Confluence sunucusunda daha eski bir uzaktan kod yürütme (RCE) güvenlik açığı da kullanılıyor (CVE-2022-26134) devam eden kampanyasında.
Araştırmacılar ayrıca saldırganların taktiklerinin, bulut ve konteyner ortamlarını hedef aldığı bilinen iki tehdit grubu olan TeamTNT ve WatchDog ile örtüştüğünü söyledi.
Cado Security'nin kurucu ortağı ve CTO'su Chris Doman, “Saldırılar nispeten sabit kodlu ve otomatiktir, bu nedenle Confluence ve diğer platformlardaki bilinen güvenlik açıklarını ve Redis ve Docker gibi platformlardaki iyi bilinen yanlış yapılandırmaları ararlar” diyor.
Bu güvenlik açığı bulunan örneklerin belirlenmesi genellikle basittir; ilk adım olarak taramaya ve ikinci adım olarak belirlenen güvenlik açığına sahip örneklere saldırmaya dayanır. “Bu sorunlardan kaçınmak genellikle düşük seviyedeki meyveleri düzeltmekle, yani sistemlerin yamalı olduğundan veya en azından İnternet'e erişilemediğinden emin olmakla ilgilidir.”
'Dönen' YARN Siber Saldırıları Bulut Sunucularını Hedefliyor
Cado Güvenlik araştırmacıları kampanyaya isim verdi İPLİK Eğirme, Apache Hadoop'un “Yine Başka Kaynak Müzakerecisi” küme kaynak yönetimi katmanından sonra. Bunu, Cado'nun Docker balküplerinden birindeki ilk erişim etkinliğini araştırırken keşfettiler. Analizleri, tehdit aktörünün dört bulut platformunu çalıştıran sunucuların keşfini ve ele geçirilmesini otomatikleştirmek için kullandığı, önceden bilinmeyen dört Golang ikili dosyasının keşfedilmesine yol açtı.
Cado araştırmacıları ayrıca tehdit aktörünün, Platypus (kalıcılığı korumaya yönelik açık kaynaklı bir ters kabuk yardımcı programı) ve kötü niyetli süreçleri gizlemek için iki kullanıcı modu kök seti dahil olmak üzere birden fazla benzersiz veri dağıttığını da buldu.
“İlk erişim sağlandıktan sonra, bir dizi kabuk betiği ve genel Linux saldırı teknikleri kullanılarak bir kripto para madencisini teslim etFirma bu hafta bir blog yazısında şunları söyledi: “, ters bir kabuk oluşturun ve güvenliği ihlal edilmiş ana bilgisayarlara kalıcı erişim sağlayın.”
Güvenlik sağlayıcısı, devam eden kampanyanın, tehdit aktörlerinin bulut ortamlarındaki Web'e yönelik hizmetlerdeki güvenlik açıklarını anlamak ve bunları ilk erişim için kullanmanın yollarını bulmak için harcadığı zaman ve çabanın en son göstergesi olduğunu söyledi. Şirket, 2024'ün başından bu yana Cado araştırmacılarının, bir tehdit aktörünün bir kuruluşun daha geniş bulut ortamına ilk erişim için Docker'ı kullandığı, sonuncusu da dahil olmak üzere toplam üç kampanya gözlemlediğini kaydetti.
Bu saldırıların çoğu, kripto madencilerini dağıtma girişimlerini içeriyordu. Bu yılın başlarında Aqua Nautilus'tan araştırmacılar, bir tehdit aktörünün suistimal ettiğini bildirdi. bilinen iki yanlış yapılandırma Monero kripto para birimi için bir madenci bırakmak üzere Hadoop YARN ve Flink'te. Bu kampanya, Cado'nun bu hafta bildirdiği gibi, rootkit'lerin, sistem yapılandırma değişikliklerinin, paketlenmiş ELF ikili dosyalarının ve tespitten kaçınmak için diğer yöntemlerin kullanımını içeriyordu. Geçtiğimiz yıl Aqua araştırmacıları, bir tehdit aktörünün söz konusu olduğu başka bir kampanyayı ortaya çıkardı. 1.200'den fazla Redis sunucusuna virüs bulaştı “HeadCrab” adını verdikleri neredeyse tespit edilemeyen bir kötü amaçlı yazılım aracı aracılığıyla bir kripto madenciyle.
Çok Aşamalı Saldırı Zinciriyle Bulutta
Cado'nun Docker bal küpüne yapılan saldırıda, tehdit aktörleri ABD merkezli bir IP adresinden bir Docker komutu yayınladılar ve bu komut, konteynerin temeldeki ana bilgisayar sistemindeki dosyalara ve dizinlere erişmesine ve bunlarla etkileşime girmesine izin veren bir yapılandırmaya sahip yeni bir konteyner oluşturdu. Cado, bu yöntemin, düşmanların Docker saldırılarında yaygın olarak kullandığı bir yöntem olduğunu, çünkü bu yöntemin, ana sisteme dosya yazmalarına veya aslında bir RCE saldırısı gerçekleştirmelerine olanak sağladığını söyledi.
Bu özel örnekte saldırganlar, uzaktan komuta ve kontrol (C2) sunucusuyla bağlantı kuran bir kabuk komut dosyası işlevi yazma taktiğini kullandılar ve ardından bu sunucudan ilk aşama yükünü aldılar.
İlk aşama yükünün işlevi, ek yükler için C2'yi tanımlamak ve dosya ve dizin niteliklerini değiştirmek için bir Linux aracı olan chattr'nin varlığını kontrol etmektir. Araç mevcutsa, ilk veri onu yeniden adlandırır. Cado, eğer değilse, kötü amaçlı yazılımın ele geçirilen sisteme chattr yüklediğini ve ardından onu yeniden adlandırdığını söyledi. Bu birincil veya ilk aşama verisi, sistemin mevcut kullanıcısının yönetici erişimine sahip olup olmadığını ilk kez doğruladıktan sonra bir sonraki veriyi alır.
İkinci aşama yükünün işlevleri arasında, diğer şeylerin yanı sıra, güvenlik duvarlarını ve IP filtre kurallarını devre dışı bırakmak için komutlar çalıştırarak, kabuk geçmişini silerek, erişim kontrol işlevlerini devre dışı bırakarak ve giden DNS isteklerindeki kısıtlamaları kaldırarak sistemi daha fazla uzlaşma için yumuşatmak yer alır.
İkinci aşama kabuk betiği ayrıca, kötü amaçlı etkinlikleri gizlemek için iki kullanıcı modu rootkit'i kurmak ve kötü amaçlı komutların geçmiş dosyasında görünmemesini sağlamak gibi çeşitli anti-adli önlemler alır. Ayrıca kalıcı erişim için Platypus'u ve Monero için XMRig cyptominer'ı da indirir.
Saldırı zinciri ayrıca Docker görüntülerini Ubuntu veya Alpine depolarından aramak ve silmek ve güvenliği ihlal edilmiş sistemlerde birden fazla diğer ikili veri yükünü indirmek ve sürdürmek için kabuk komut dosyalarını da içerir.