Siber güvenlik araştırmacıları, Docker, Gitea ve Hashicorp Consul ve Nomad ile ilişkili olanlar gibi kamuya açık bir şekilde kripto para birimleri için halka açık erişilebilir DevOps web sunucularını hedefleyen yeni bir kriptaj kampanyası keşfettiler.
Adı altındaki etkinliği izleyen bulut güvenlik firması Wiz Jinx-0132saldırganların madenci yükünü sunmak için çok çeşitli bilinen yanlış yapılandırmalar ve güvenlik açıklarından yararlandığını söyledi.
Araştırmacılar Gili Tikochinski, Danielle Aminov ve Merav Bar, Hacker News ile paylaşılan bir raporda, “Bu kampanya, vahşi doğada bir saldırı vektörü olarak sömürülen göçebe yanlış yapılandırmaların kamuoyu belgelenmiş ilk örneği olduğuna inandığımız şeyi işaret ediyor.” Dedi.
Bu saldırıları daha da belirleyen şey, kötü aktörlerin, kendi altyapılarını evreleme amacıyla kullanmak yerine doğrudan GitHub depolarından indirmeleridir. Hazır araçların kullanımı, ilişkilendirme çabalarını bulutlamak için kasıtlı bir girişim olarak görülmektedir.
Jinx-0132’nin, kombine CPU ve RAM kaynakları göz önüne alındığında, ayda on binlerce dolara mal olacak yüzlerce müşteriyi yöneten göçebe örnekleri olduğu söyleniyor. Bu aynı zamanda kriptajlama etkinliğini yönlendiren hesaplama gücünü de vurgulamaya yarar.
Docker API’sının istismarının bu tür saldırılar için iyi bilinen bir lansman rampası olduğunu belirtmek gerekir. Geçen hafta Kaspersky, tehdit aktörlerinin yanlış yapılandırılmış Docker API örneklerini bir kripto para madenciliği botnet’e dahil etmek için hedeflediğini açıkladı.
Maruz kalan Docker API örnekleri, tehdit aktörlerinin ana bilgisayar dosya sistemini monte eden kapları döndürerek veya “/kapsayıcılar/create” ve “/kapsayıcılar/{id}/start” gibi standart docker uç noktalarını çağırarak bir kripto para birimi görüntüsü başlatarak kötü amaçlı kod yürütmeleri için kapıyı açar.
Wiz, tehdit aktörlerinin aynı zamanda bir güvenlik açığı (örn. CVE-2020-14144) veya GITEA’da yanlış yapılandırmadan yararlandığını veya git depolarını barındırmak için hafif bir açık kaynak çözümü olan yanlış bir şekilde yanlış yapılandırmayı hedefte bir başlangıç dayanağı elde ettiğini söyledi.
Özellikle, saldırganın GIT kancaları oluşturmak için izni olan mevcut bir kullanıcıya erişimi varsa, 1.4.0 sürümünü çalıştırıyorsa veya kurulum sayfasının kilidi açıldığı takdirde, kamuya açık olan Gitea örneklerinin uzaktan kod yürütmesine karşı savunmasız olduğu bulunmuştur (yani, kurulum_lock = false).
Hashicorp konsolosu, sistem düzgün bir şekilde yapılandırılmazsa ve sunucuya uzaktan erişimi olan herhangi bir kullanıcının hizmetleri kaydetmesine ve sağlık kontrollerini tanımlamasına izin verirse, kayıtlı aracı tarafından yürütülecek bir BASH komutunu içerebiliyorsa, keyfi kod yürütme yolunu açabilir.
Wiz, “Jinx-0132 tarafından düzenlenen kampanyada, pratikte sadece madencilik yazılımı yürüten kötü niyetli kontroller eklemek için bu yeteneği kötüye kullandılar.” Dedi. “Jinx-0132, gerçek amacı XMRIG yükünü indirmek ve çalıştırmak olan görünüşte rastgele isimlerle birden fazla hizmet ekliyor.”
Jinx-0132’nin, GitHub’dan XMRIG Madenci yükünü indirmekten sorumlu olan güvenliği ihlal edilmiş ana bilgisayarlarda birden fazla yeni iş oluşturmak için kamuya açık olan Nomad Server API’sinde yanlış yapılandırmalardan yararlandığı gözlemlenmiştir. Saldırılar, Nomad’ın bu işleri yaratmak ve yürütmek için temerrüde düşmediği gerçeğine bağlı.
Wiz, “Bu varsayılan yapılandırma, sunucu API’sına sınırsız erişimin sunucunun kendisinde ve tüm bağlı düğümlerde uzaktan kod yürütme (RCE) özelliklerine göre eşzamanlı olabileceği anlamına gelir.” Dedi.
Shodan’ın verilerine göre, dünya çapında 5.300’den fazla açık konsolos ve 400’den fazla açık göçebe sunucusu var. Maruziyetlerin çoğunluğu Çin, ABD, Almanya, Singapur, Finlandiya, Hollanda ve Birleşik Krallık çevresinde yoğunlaşıyor.
Saldırgan, madenciyi çalıştırmak için internete maruz kalan açık webui sisteminden yararlanır
Açıklama, Sysdig’in, yapay zeka (AI) jenerasyonlu bir Python komut dosyası yüklemek ve nihayetinde kripto para madencileri sunmak için açık webui’yi barındıran yanlış yapılandırılmış bir sistemden yararlanarak Linux ve Windows’u hedefleyen bir kötü amaçlı yazılım kampanyasının ayrıntılarını açıkladığı gibi geliyor.
Güvenlik araştırmacıları Miguel Hernandez ve Alessandra Rizzo, yayınla paylaşılan bir raporda, “İnternete maruz kalma, kimsenin sistemdeki komutlar yürütmesine izin verdi – tehlikeli bir hata saldırganları iyi farkındalar ve aktif olarak tarama yapıyorlar.” Dedi.
“Saldırganlar maruz kalan eğitim sistemini keşfettikten sonra, LLM yeteneklerini geliştirmek için kullanılan bir eklenti sistemi olan açık webui araçlarını kullanmaya başladılar. Açık Webui, Python komut dosyalarının işlevselliklerini genişletmek için kullanabilmeleri için yüklenmesine izin verir. Açık bir webui aracı olarak yüklendikten sonra, kötü niyetli Python kodu yürütüldü.”
Sysdig, Python kodu, T-Rex ve XMRIG gibi kripto para madencilerini indirmek ve yürütmek için tasarlandığını, kalıcılık için bir SystemD hizmeti oluşturduğunu ve komut ve kontrol (C2) için bir Discord Webhook kullandığını söyledi. Kötü amaçlı yazılım ayrıca Linux sistemlerindeki madencilik sürecini gizlemek için Processhider ve Argvhider gibi kütüphaneleri de içeriyor ve bir savunma kaçakçılığı taktiği görevi görüyor.
Geri ihlal edilen Windows sistemlerinde, saldırı benzer hatlar boyunca ilerler, ancak 185.208.159’dan indirilen bir jar dosyası (“Application-ref.jar”) yürütmek için Java Geliştirme Kitinin (JDK) dağıtımını da gerektirir.[.]155. JAR dosyası, ikincil bir kavanoz yükü çalıştırmak için Java tabanlı bir yükleyici olarak hizmet vermektedir.
Saldırı zinciri, Google Chrome’da kurulan uyumsuzluk ve kripto para cüzdanı uzantıları ile ilişkili kimlik bilgilerini çalmak için donanımlı olan iki dosyanın “int_d.dat” ve “int_j.dat” dosyasının yürütülmesi ile sonuçlanır.
Sysdig, internet üzerinden erişilebilen 17.000’den fazla açık webui örneği olduğunu söyledi. Bununla birlikte, kaç kişinin aslında diğer güvenlik zayıflıklarına karşı yanlış yapılandırıldığı veya duyarlı olduğu açık değildir.
Araştırmacılar, “Açık WebUI gibi sistemlerin internete maruz kaldığı yanlışlıkla yanlış yapılandırmalar ciddi bir sorun olmaya devam ediyor.” Dedi. “Saldırgan ayrıca hem Linux hem de Windows sistemlerini, Windows sürümünü sofistike infostealer ve kaçınma tekniklerini de dahil etti.”