Tehdit aktörü olarak bilinen Komando Kedisi finansal kazanç elde etmek için kripto para birimi madencilerini dağıtmak üzere zayıf güvenlikli Docker örneklerinden yararlanan, devam eden bir cryptojacking saldırı kampanyasıyla ilişkilendirildi.
Trend Micro araştırmacıları Sunil Bharti ve Shubham Singh Perşembe günü yaptıkları bir analizde, “Saldırganlar, yükü kendi komuta ve kontrol (C&C) altyapılarından alan cmd.cat/chattr liman işçisi görüntü kapsayıcısını kullandılar.” dedi.
Adını zararsız bir konteyner oluşturmak için açık kaynaklı Commando projesinden yararlanan Commando Cat, ilk kez bu yılın başlarında Cado Security tarafından belgelendi.
Saldırılar, yanlış yapılandırılmış Docker uzak API sunucularının cmd.cat/chattr adlı bir Docker görüntüsünü dağıtmak üzere hedeflenmesiyle karakterize edilir; bu görüntü daha sonra bir kapsayıcıyı başlatmak ve chroot komutunu kullanarak sınırlarını aşmak ve erişim kazanmak için temel olarak kullanılır. ana bilgisayar işletim sistemine.
Son adım, kötü amaçlı madenci ikili dosyasının bir C&C sunucusundan (“leetdbs.anondns) curl veya wget komutunu kullanarak alınmasını gerektirir.[.]net/z”) bir kabuk komut dosyası aracılığıyla. İkilinin, Kaiten (diğer adıyla Tsunami) kötü amaçlı yazılımını temel alan açık kaynaklı bir IRC botu olan ZiggyStarTux olduğundan şüpheleniliyor.
Araştırmacılar, “Bu saldırı kampanyasının önemi, kripto korsanlık komut dosyalarını tehlikeye atılmış sistemlere dağıtmak için Docker görüntülerini kullanmasıdır” dedi. “Bu taktik, saldırganların güvenlik yazılımı tarafından tespit edilmekten kaçınırken Docker yapılandırmalarındaki güvenlik açıklarından yararlanmasına olanak tanıyor.”
Açıklama, Akamai’nin ThinkPHP uygulamalarındaki (örneğin, CVE-2018-20062 ve CVE-2019-9082) yıllardır süren güvenlik kusurlarının, Çince konuşan şüpheli bir tehdit aktörü tarafından Dama adlı bir web kabuğunu sunmak için kullanıldığını ortaya çıkarmasıyla geldi. 17 Ekim 2023’ten beri devam eden bir kampanyanın.
Akamai araştırmacıları Ron Mankivsky ve Maxim Zavodchik, “Bu istismar, ilk başta yer kazanmak için ele geçirilen başka bir ThinkPHP sunucusundan ek gizlenmiş kod almaya çalışıyor.” dedi. “Sistemden başarıyla yararlandıktan sonra saldırganlar, sunucuya kalıcı erişimi sürdürmek için Dama adında Çince bir web kabuğu yükleyecek.”
Web kabuğu, sistem verilerini toplamak, dosyaları yüklemek, ağ bağlantı noktalarını taramak, ayrıcalıkları yükseltmek ve dosya sisteminde gezinmek için çeşitli gelişmiş yeteneklerle donatılmıştır; bunlardan ikincisi, tehdit aktörlerinin dosya düzenleme, silme ve zaman damgası değişikliği gibi işlemleri gerçekleştirmesine olanak tanır. kafa karıştırıcı amaçlar.
Araştırmacılar, “Çince konuşan bir düşman tarafından gerçekleştirilen son saldırılar, saldırganların gelişmiş kurban kontrolü için tasarlanmış tam donanımlı bir web kabuğu kullanma eğilimini vurguluyor” dedi. “İlginç bir şekilde, hedeflenen müşterilerin tümü ThinkPHP kullanmıyordu, bu da saldırganların ayrım gözetmeksizin geniş bir sistem yelpazesini hedef alıyor olabileceğini gösteriyor.”