İnternet üzerinden açığa çıkan Docker API uç noktaları, karmaşık bir cryptojacking kampanyasının saldırısı altındadır. Komando Kedisi.
Cado güvenlik araştırmacıları Nate Bill ve Matt Muir bugün yayınlanan yeni bir raporda, “Kampanya, Komando projesi kullanılarak oluşturulan iyi huylu bir konteyneri konuşlandırıyor.” dedi. “Saldırgan bu konteynerden kaçıyor ve Docker ana bilgisayarında birden fazla veri çalıştırıyor.”
Kampanyanın 2024’ün başından beri aktif olduğuna inanılıyor, bu da onu aylar içinde keşfedilen ikinci kampanya yapıyor. Ocak ayı ortasında, bulut güvenlik firması, XMRig kripto para madencisinin yanı sıra 9Hits Viewer yazılımını dağıtmak için savunmasız Docker ana bilgisayarlarını hedef alan başka bir etkinlik kümesine de ışık tuttu.
Commando Cat, kalıcılığın kaydedilmesinden, ana bilgisayarın arka kapısının açılmasından, bulut hizmet sağlayıcısı (CSP) kimlik bilgilerinin sızdırılmasından ve madencinin başlatılmasından sorumlu olan aktör kontrollü bir sunucudan birbirine bağlı yüklerin bir koleksiyonunu sunmak için Docker’ı ilk erişim vektörü olarak kullanıyor.
Etkilenebilir Docker örneklerinin ihlal edilmesiyle elde edilen dayanak noktası, daha sonra Commando açık kaynak aracını kullanarak zararsız bir konteyneri dağıtmak ve chroot komutu aracılığıyla konteynerin sınırlarından kaçmasına izin veren kötü amaçlı bir komut yürütmek için kötüye kullanılıyor.
Ayrıca “sys-kernel-debugger”, “gsc”, “c3pool_miner” ve “dockercache” isimli servislerin ele geçirilen sistemde aktif olup olmadığını belirlemek için bir dizi kontrol gerçekleştirir ve ancak bu adım başarılı olursa bir sonraki aşamaya geçer. .
Araştırmacılar, “Sys-çekirdek-hata ayıklayıcı kontrolünün amacı belirsiz; bu hizmet, kötü amaçlı yazılımın herhangi bir yerinde kullanılmıyor ve Linux’un bir parçası da değil” dedi. “Hizmetin, saldırganın rekabet etmek istemediği başka bir kampanyanın parçası olması mümkündür.”
Sonraki aşama, ~/.ssh/authorized_keys dosyasına bir SSH anahtarı ekleme ve hileli bir kullanıcı oluşturma kapasitesine sahip bir kabuk komut dosyası arka kapısı (user.sh) dahil olmak üzere, komuta ve kontrol (C2) sunucusundan ek yüklerin kaldırılmasını gerektirir. Saldırganın bildiği bir parolayla “games” olarak adlandırılan ve bunu /etc/sudoers dosyasına ekleyen.
Benzer şekilde, netcat’in gs-netcat adı verilen doğaçlama bir versiyonu olan Tiny SHell’i bırakmak ve sırasıyla kimlik bilgilerini ve ortam değişkenlerini sızdırmak için tasarlanmış üç kabuk komut dosyası daha (tshd.sh, gsc.sh, aws.sh) teslim edilir. .
“/tmp kullanmak yerine, [gsc.sh] Araştırmacılar, bunun yerine /dev/shm’yi de kullanıyor; bu geçici bir dosya deposu görevi görüyor ancak bunun yerine bellek yedekleniyor.” “Kötü amaçlı yazılımların /tmp kullanması çok daha yaygın olduğu için bunun bir kaçınma mekanizması olması mümkün.”
“Bu aynı zamanda eserlerin diske temas etmemesine neden oluyor ve adli tıpı biraz daha zorlaştırıyor. Bu teknik daha önce yüksek profilli bir Linux kampanyası olan BPFdoor’da kullanılmıştı.”
Saldırı, C2 sunucusundan alınmak yerine doğrudan Base64 kodlu bir komut dosyası olarak teslim edilen başka bir veri yükünün konuşlandırılmasıyla sonuçlanır; bu da XMRig kripto para madencisini düşürür, ancak daha önce virüs bulaşmış makinedeki rakip madenci süreçlerini ortadan kaldırmaz.
Commando Cat’in arkasındaki tehdit aktörünün kesin kökenleri şu anda belirsiz olsa da kabuk komut dosyalarının ve C2 IP adresinin geçmişte TeamTNT gibi kripto korsanlık gruplarıyla bağlantılı olanlarla örtüştüğü gözlemlenmiş ve bu da grubun taklitçi bir grup olabileceği ihtimalini artırıyor .
Araştırmacılar, “Kötü amaçlı yazılım, kimlik bilgisi hırsızı, son derece gizli arka kapı ve kripto para madencisi olarak bir arada işlev görüyor” dedi. “Bu, onu çok yönlü hale getiriyor ve virüslü makinelerden mümkün olduğunca fazla değer çıkarabiliyor.”