Austin, Teksas merkezli Amerikan siber güvenlik teknolojisi CrowdStrike, saldırganların savunmasızları hedef aldığı yepyeni bir kripto hırsızlığı kampanyası keşfetti. Liman işçisi ve Kubernetes altyapısı. Kampanya, Kiss-a-dog kampanyası olarak adlandırıldı.
Cryptojacking nedir?
kripto hırsızlığı bilgisayar korsanlarının sizin izniniz olmadan kripto para madenciliği yapmak için bilgisayarınızın işlem gücünü kullandığı bir çevrimiçi saldırı türüdür. Bu, kötü amaçlı bir web sitesini ziyaret ettiğinizde, kötü amaçlı yazılım bulaştığında veya kötü amaçlı bir reklamı tıkladığınızda olabilir.
Cryptojacking, bilgisayarınızı yavaşlatabilir ve pil ömrünüzü tüketebilir. Ayrıca daha yüksek enerji faturalarına yol açabilir. Bazı durumlarda, kripto hırsızlığı bilgisayarınıza bile zarar verebilir.
Kampanya Analizi
CrowdStrike’ın Bulut Tehdidi Araştırma ekibine göre, saldırganlar Docker ve Kubernet’ler ağ.
Araştırmacılar, daha önce tarafından kullanılan aynı Komuta ve Kontrol Sunucusu’ndan (C2) Docker’ı hedefleyen birden fazla kampanya tespit etti. TakımTNT. Ayrıca, saldırıda kullanılan taktikler, teknikler ve prosedürler tüm kampanyalarda benzerdir.
Kiss-a-Dog’da Hedeflenen Savunmasız Docker ve Kubernetes Ağları
Eylül 2022’de CrowdStrike’ın bal küpleri, savunmasız konteyner saldırı yüzeyleri arayan birkaç kampanya tespit etti. Şirketin izleyicileri Docker API’lerini ortaya çıkardı ve güvenliği ihlal edilmiş Docker kapsayıcısını, ilk yükü tetiklemek için bir giriş noktası olarak belirledi – Kissa-dogtop adlı bir etki alanından kötü amaçlı bir yük t.sh indirmekten sorumlu bir Python komutu.
Bu yüzden kampanyaya Kiss-a-dog adı verildi. Bu giriş noktası, bir paket yöneticisi aracılığıyla cURL’yi doğrular/yükler. Ayrıca, bir cron işi olarak kötü niyetli bir yük ekler.
Kampanya, kapsayıcıdan kaçmak için bir ana bilgisayar yuvası kullanır. Konteynerleri kırmak kripto madencileri arasında yaygın bir tekniktir ve internete maruz kalan Docker yüzeyini hedeflemek nispeten daha kolay olduğu için genellikle başarılıdır. Shodan’a göre, internete açık yaklaşık 10.000 Docker örneği var.
Kiss-a-dog’da saldırganlar diamorfin ve libprocesshide işlemi kullanıcılardan gizlemek için rootkit’ler. Bu rootkit’ler, işlemcileri kullanıcıdan gizleyebilir. C/C++ kod dosyalarını kodlamayı ve bunları komut dosyasına Base64 dizeleri olarak gömmeyi seçerek ağdaki algılamadan kaçınılır. Çalışma zamanı olduğunda, saldırganlar Base64 dizesinin kodunu Diamorphine rootkit için kod içeren .tar belgesi olarak çözer ve diamorphin.ko dosyasını oluşturmak için GCC kullanarak derler. insmod komutu ile çekirdek modülü olarak yüklenir.
Saldırganlar cüzdan adreslerini gizlemek için lovea-dogtop ve toucha-dogtop’u havuz sunucuları olarak kullandılar ve XMRig’i . İkili dosyayı cmake.service olarak çalıştırmak için bir hizmet kurarlar.
Kampanya Hedefleri
Birincil amaç, kripto para madenciliği yapmak ve tespitten kaçınmak için çekirdek ve kullanıcı modu kök setlerini kullanmaktır. Bu amaçla saldırganlar, XMRig madencilik yazılımı. Bu kampanyanın arkasındaki bir diğer amaç, mümkün olduğunca çok sayıda savunmasız Docker ve Redis örneğini hedeflemektir.
Saldırganlar, ele geçirilmiş kapsayıcıda masscan, pnscan ve zgrab gibi ağ tarayıcılarını indirir/derler. Bu araçlar, savunmasız Docker ve Redis sunucu örneklerini tespit etmek için internetteki IP aralığını rastgele tarar.
Cryptojacking gruplarının kampanyaları, başarı oranına bağlı olarak günlerden aylara kadar sürer. Kripto para fiyatları düştüğü için, bu kampanyalar, düşük rekabet ortamından yararlanmak için Ekim ayında birden fazla kampanya başlatılana kadar son birkaç ay içinde susturuldu.
CrowdStrike
Alakalı haberler
- 2022’de İzlenecek En İyi 10 Uygulama Güvenliği Uygulaması
- Tedarik Zinciri Saldırısında Binlerce GitHub Deposu Klonlandı
- Parolanızı değiştirin: Docker ihlale maruz kalıyor; 190 bin kullanıcı etkilendi
- Monero madenciliği için Bitbucket ve Docker Hub’ı ele geçiren tehdit aktörleri
- Yanlış Yapılandırılmış Docker API’leri için LemonDuck Cryptomining Botnet Avcılığı