Sofistike bir kriptaj kampanyası, sıfır gün güvenlik açıkları yerine yaygın yanlış yapılandırmaların kullanımı yoluyla yaygın olarak kullanılan DevOps uygulamalarını hedeflemeyi hedeflemiştir.
Hashicorp Nomad, Consul, Docker API ve Gitea dağıtımlarını hedefleyen kampanya, tehdit aktörlerinin bulut ortamlarında altyapı uzlaşmasına nasıl yaklaştıklarında önemli bir değişimi temsil ediyor.
Saldırı kampanyası, kaynak hırsızlığı için hesaplanmış bir yaklaşım gösteriyor ve tehdit aktörleri, uygun güvenlik konfigürasyonları olmadan dağıtılan kamuya açık erişilebilir DevOps web sunucularına odaklanıyor.
.png
)
Özel yüklere veya saldırgan kontrollü altyapıya dayanan geleneksel kötü amaçlı yazılım kampanyalarının aksine, bu operasyon, tipik olarak şüpheli ikili veya komut ve kontrol iletişimlerini işaretleyen tespit mekanizmalarını önlemek için doğrudan kamu depolarından meşru araçları indirerek bir “yaşama açısından açık kaynak” metodolojisi kullanır.
Wiz analistleri, Jinx-0132 olarak adlandırılan bu faaliyetlerin arkasındaki tehdit aktörünü, birden fazla DevOps platformunda anormal davranışı araştırdı.
Araştırmacılar, bu kampanyanın, vahşi doğada bir saldırı vektörü olarak sömürülen göçebe yanlış yapılandırmaların kamuoyu belgelenmiş ilk örneği olduğuna inandıklarını belirtti.
Keşif, özellikle yüksek riskli saldırı vektörleri olarak kabul edilmeyen uygulamaları hedeflerken, yanlış yapılandırma istismarının genellikle geleneksel güvenlik izlemesinden nasıl kaçınabileceğini vurgulamaktadır.
.webp)
Kampanyanın ölçeği özellikle ilgilidir, bazı tehlikeye atılan örnekler, ayda on binlerce dolar değerinde birleşik hesaplama kaynağına sahip yüzlerce müşteriyi yönetir.
Bu, önemli güvenlik bütçeleri olan iyi finanse edilen kuruluşların bile temel yapılandırma hatalarına karşı nasıl savunmasız kaldığını vurgulamaktadır.
Wiz verilerine göre, tüm bulut ortamlarının yaklaşık% 25’i hedeflenen teknolojilerden en az birini içerir, bu dağıtımların% 5’i doğrudan internete maruz kalır ve endişe verici bir şekilde, bu maruz kalan örneklerin% 30’u yanlış yapılandırılmıştır.
Tehdit oyuncusu metodolojisi, geleneksel uzlaşma göstergelerini kasıtlı olarak önler, bunun yerine meşru madencilik yazılımının standart sürüm versiyonlarına ve yük dağıtım için kamu depolarına güvenir.
Bu yaklaşım, atıf çabalarını önemli ölçüde karmaşıklaştırır ve kampanyanın tam kapsamını izlemeye çalışan güvenlik ekipleri için aktörün faaliyetlerinin kümelenmesini daha zor hale getirir.
Göçebe Sömürü Mekanizması
Hashicorp Nomad’ın sömürülmesi, Jinx-0132 kampanyasının teknik olarak en sofistike yönünü temsil ediyor.
Uygulamaları birden çok platformda dağıtmak için bir zamanlayıcı ve orkestratör olan Nomad, açıkça teminat olarak güvenli olmadığı ve yöneticilerin uygun güvenlik konfigürasyonlarını uygulamasını gerektiren belgelenmiştir.
.webp)
Temel güvenlik açığı, Nomad’ın Sunucu API’sına erişimi olan herhangi bir kullanıcının kayıtlı düğümlerde görevler oluşturmasına ve yürütmesine izin veren iş sırası işlevselliğinde yatmaktadır.
Jinx-0132 yanlış yapılandırılmış bir Nomad dağıtımına eriştiğinde, “Resitajt” ve “MBUVVCWM” gibi görünüşte rastgele isimlerle birden fazla kötü amaçlı iş yaratırlar.
Her iş, XMRIG madenciliği yazılımını doğrudan resmi GitHub deposundan indiren bir görev yapılandırması içerir.
Saldırı yükü, sistemi güncelleyen, wget yükleyen, XMRIG arşivini indiren, çıkaran, yürütme izinlerini ayarlayan ve havuza bağlanan madenciyi başlatan bir dizi komut yürütür.
Görev yapılandırması, aktörün, uzlaşmış sistemin ayrıcalık yapısına bakılmaksızın başarılı bir şekilde yürütülmeyi sağlamak için hem normal hem de sudo-eleve edilmiş komutları denemeyi dener.
Madencilik işlemi, mevcut CPU iş parçacıklarının% 90’ına kadar kullanacak şekilde yapılandırılmıştır, bu da performans bozulması yoluyla tespiti önlemek için sistem stabilitesini korurken kaynak çıkarmayı en üst düzeye çıkarır.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği