Siber güvenlik araştırmacıları, Docker ortamlarını kripto para birimini çıkarmak için daha önce belgelenmemiş bir tekniğe sahip bir kötü amaçlı yazılım kampanyası detaylandırdı.
Etkinlik kümesi, Darktrace ve Cado Security başına, XMRIG gibi madencileri doğrudan hesaplama kaynaklarından yasadışı kâr etmek için doğrudan dağıtan diğer kriptaj kampanyalarından bir kaymayı temsil eder.
Bu, kullanıcıların $ Teneo Tokenlere dönüştürülebilen Teneo Points adlı ödüller karşılığında bir topluluk düğümü çalıştırarak halka açık sosyal medya verilerinden para kazanmalarını sağlayan merkezi olmayan bir fiziksel altyapı ağı (DEPIN) adlı yeni bir Web3 hizmetine bağlanan bir kötü amaçlı yazılım suşunun dağıtılmasını içerir.
Düğüm aslında Facebook, X, Reddit ve Tiktok’tan yayınları çıkarmak için dağıtılmış bir sosyal medya kazıyıcı olarak işlev görür.
Honeypot’larından toplanan eserlerin analizi, saldırının Docker Hub Kayıt Defterinden bir konteyner görüntüsü “Kazutod/Tene: Ten” başlatma isteğiyle başladığını ortaya koydu. Görüntü iki ay önce yüklendi ve bugüne kadar 325 kez indirildi.
Konteyner görüntüsü, yoğun bir şekilde gizlenmiş ve Teneo ile bağlantı kuran gerçek kodu açmak için 63 yineleme gerektiren gömülü bir Python komut dosyası çalıştırmak için tasarlanmıştır.[.]Pro.
Hacker News ile paylaşılan bir raporda, “Kötü amaçlı yazılım komut dosyası sadece WebSocket’e bağlanıyor ve Teneo’dan daha fazla puan kazanmak için tutma pingleri gönderiyor ve gerçek kazıma yapmıyor.” Dedi. “Web sitesine dayanarak, ödüllerin çoğu, gerçekleştirilen kalp atışlarının sayısının arkasına geçiyor, bu yüzden bu işe yarıyor.”
Kampanya, kredi almak karşılığında belirli sitelere trafik oluşturmak için 9hits izleyici yazılımı ile yanlış yapılandırılmış Docker örneklerini enfekte ettiği bilinen başka bir kötü niyetli tehdit etkinliği kümesini andırıyor.
İzinsiz giriş seti, proxyJacking gibi, kullanılmayan İnternet kaynaklarını bir tür finansal teşvik için paylaşmak için belirli bir yazılımın indirilmesini içeren diğer bant genişliği paylaşım şemalarına benzer.
Darktrace, “Tipik olarak, geleneksel kriptaj saldırıları doğrudan kripto para birimini çıkarmak için XMRIG kullanmaya dayanıyor, ancak XMRIG oldukça tespit edildikçe, saldırganlar kripto üretmenin alternatif yöntemlerine geçiyor.” Dedi. “Bunun daha karlı olup olmadığı görülüyor.”
Açıklama, Fortinet Fordiguard Labs’ın Totolink (CVE-2022-26210 ve CVE-2022-26187) ve Draytek (CVE-2024-12987), DDOS saldırıları yürütme amaçlı güvenlik kusurları yoluyla yayılan yeni bir botnet olarak adlandırıldığı gibi geliyor. Sömürü çabalarının öncelikle Japonya, Tayvan, Vietnam ve Meksika’daki teknoloji sektörünü hedeflediği bulunmuştur.
Güvenlik araştırmacısı Vincent Li, “IoT ve ağ cihazları genellikle zayıf bir şekilde savunulmuş uç noktalardır, bu da saldırganların kötü niyetli programları kullanmaları ve sunmaları için cazip hedefler haline getiriyor.” Dedi. “Son nokta izleme ve kimlik doğrulamasının güçlendirilmesi, sömürü riskini önemli ölçüde azaltabilir ve kötü amaçlı yazılım kampanyalarını azaltmaya yardımcı olabilir.”