“Commando Cat” adlı yeni bir cryptojacking saldırı kampanyasının, kripto para birimi madencilerini dağıtmak için açıktaki Docker uzak API sunucularından yararlandığı gözlemlendi. Saldırı operasyonları, açık kaynaklı Commando projesindeki meşru Docker görüntülerinden yararlanır.
Commando, isteğe bağlı liman işçisi görüntüsü oluşturmak için tasarlanmış ve SysOps ve DevOps profesyonellerinin operasyonlar için bunları hızlı bir şekilde oluşturmasına yardımcı olan bir araçtır.
Commando Cat İlk Erişim ve Saldırı Sırası
Trend Micro’dan araştırmacıların tespit ettiği Commando Cat kampanyası 2024’ün başlarından bu yana aktif. Saldırı, Docker Remote API sunucusuna yapılan bir araştırmayla başlıyor. Sunucu olumlu yanıt verirse saldırganlar “cmd.cat/chattr” imajını kullanarak bir konteyner oluşturuyor. Uygun bir hedef belirlendikten sonra saldırgan, ilk bakışta zararsız görünen ancak saldırının sonraki aşamaları için bir basamak görevi gören cmd.cat/chattr adlı bir liman işçisi görüntüsü dağıtır.
“cmd.cat/chattr” görüntüsü, saldırganların docker konteynerinden kaçmak ve ana sistemin kök dizinini konteynerin kendi kök dizinine bağlamak için chroot ve birim bağlama gibi teknikleri kullanmasına olanak tanır. /hs böylece ana dosya sistemine sınırsız erişim elde edilir.
Saldırganlar ayrıca Docker soketini konteynere bağlayarak Docker’ı sanki ana makinenin kendisindeymiş gibi manipüle etmelerine olanak tanır. Eğer “cmd.cat/chattr” görseli bulunamazsa saldırganlar görseli cmd.cat deposundan çekiyor.
Görüntü yerleştirildikten sonra, komut ve kontrol (C&C) sunucularından kötü amaçlı bir ikili dosya indirip çalıştıran, base64 kodlu bir komut dosyasını çalıştıran bir Docker kapsayıcısı oluştururlar. Araştırmacılar indirilen ikili dosyanın Kaiten kötü amaçlı yazılımını temel alan açık kaynaklı bir IRC botnet’i olan ZiggyStarTux olduğunu belirlediler.
Komando Kedi Tespiti ve Azaltma
Araştırmacılar, analiz sırasında kampanyanın C&C sunucusunun kapalı olduğunu belirtirken, saldırı operasyonlarından bazı teknik özellikleri de fark ettiler. Araştırmacılar, DropBear SSH’nin TCP bağlantı noktası 3022’de olası kötüye kullanımının yanı sıra C&C sunucusu için 1219 bağlantı noktasının kullanılmasının kötü amaçlı yazılımın varlığını tespit etmeye yardımcı olabileceğini öne sürdü. Yetkisiz IRC iletişimleri ve bu özel Kullanıcı Aracısı dizileri diğer göstergelerdir:
- HackZilla/1.67 [en] (X11; U; Linux 2.2.16-3 x64)
- Mozilla/4.75 [en] (X11; U; Linux 2.2.16-3 i686)
Bu tür saldırıları önlemek için kuruluşların aşağıdakiler dahil en iyi Docker güvenliği uygulamalarına uyması gerekir:
- Docker konteynerlerini ve API’lerini doğru şekilde yapılandırmak.
- Yalnızca resmi veya sertifikalı Docker görüntülerinin kullanılması.
- Container’ları root dışı ayrıcalıklarla çalıştırma.
- Kapsayıcı erişimini güvenilir kaynaklarla sınırlama.
- Düzenli olarak güvenlik denetimleri gerçekleştirmek ve şüpheli liman işçisi konteynerlerini taramak.
Ek olarak araştırmacılar, enfeksiyonları tespit etmeye yardımcı olmak için risk göstergelerinin (IOC’ler) daha ayrıntılı bir listesini paylaştılar. Commando Cat saldırı kampanyası, açığa çıkan Docker Remote API sunucularıyla ilişkili risklerin ve açık kaynaklı projelerin tehdit aktörleri tarafından potansiyel olarak istismar edilmesinin altını çiziyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.