Yakın zamanda “Commando Cat” olarak adlandırılan bir kötü amaçlı yazılım kampanyası, gözünü açıkta kalan Docker API uç noktalarına dikti ve bulut ortamları için önemli bir tehdit oluşturdu.
CADO tarafından yayınlanan bu ayrıntılı analiz, iç işleyişini derinlemesine inceleyerek tekniklerini, motivasyonlarını ve potansiyel etkisini ortaya çıkarıyor.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
İlk Sızma:
- Saldırganlar, açıkta kalan Docker API örneklerinden yararlanarak meşru araçlar gibi görünen kötü amaçlı yükler dağıtıyor.
- Bu veriler, konteyner sınırlamalarından kaçmak ve ana sisteme erişim sağlamak için chroot komutunu kullanır.
- Kötü amaçlı yazılım, SSH anahtarları ve gizli kullanıcı hesapları ekleyerek arka kapılar oluşturarak saldırganlara kalıcı erişim sağlar.
- Özel bir komut dosyası süreçleri gizleyerek algılamayı daha da zorlaştırır.
Değerli Verilerin Süzülmesi:
- Kampanya, bulut hizmet sağlayıcılarından, ortam değişkenlerinden ve hatta Docker konteynerlerinden kimlik bilgilerini çalmak için çeşitli komut dosyaları kullanıyor.
- Çalınan bu veriler, saldırganlara ağlara ve potansiyel olarak hassas bilgilere daha derin erişim olanağı sağlar.
- Commando Cat, Docker bileşenleri olarak gizlenen özel bir XMRig madencisini dağıtarak kripto madenciliği için bilgi işlem gücünü çekiyor.
- Kötü amaçlı yazılım, rakip madencileri bile ortadan kaldırarak kaynak pastasından en büyük payı almasını sağlıyor.
Çimini Güvenceye Alma:
- Kampanya, diğer saldırganların müdahale etmesini önlemek için Docker kayıt defterini kara deliklere alıyor ve virüslü sistemi etkili bir şekilde izole ediyor.
- Bu “kavurulmuş toprak” taktiği, bu kampanyanın acımasızlığını vurgulamaktadır.
Temel Çıkarımlar:
Commando Cat, gelişmiş kaçınma teknikleri kullanarak tespit edilmesini ve ortadan kaldırılmasını zorlaştırır.
Kimlik bilgilerini çalmaya ve kripto korsanlığa odaklanması, kâr odaklı amaçlarını ortaya koyuyor.
Kampanyanın daha önce gözlemlenen kötü amaçlı yazılımlarla ilişkisi, yerleşik taktikleri istismar eden taklitçi grupların varlığına işaret ediyor.
Kullanıcılar ve kuruluşlar güvenlik açıklarını düzeltmeli, Docker API uç noktalarını güvenli hale getirmeli ve güçlü uç nokta algılama ve yanıt (EDR) çözümleri uygulamalıdır.
En son siber güvenlik haberleri, teknik incelemeler, infografikler ve daha fazlası için bizi LinkedIn’de takip edin. Siber güvenlikteki en son trendlerden haberdar olun ve güncel kalın.