Kinsing gibi kötü niyetli aktörler, kripto para madenciliği kötü amaçlı yazılımları sunmak için Oracle WebLogic Server’daki hem yakın zamanda açıklanan hem de daha eski güvenlik açıklarından yararlanıyor.
Siber güvenlik şirketi Trend Micro, Security-Enhanced Linux (SELinux) ve diğerleri gibi işletim sistemi (OS) güvenlik özelliklerini devre dışı bırakma yeteneklerine sahip Python komut dosyalarını düşürme güvenlik açığından yararlanan finansal olarak motive edilmiş grubu bulduğunu söyledi.
Kinsing kötü amaçlı yazılımının arkasındaki operatörler, Redis, SaltStack, Log4Shell, Spring4Shell ve Atlassian Confluence kusuru (CVE-2022-26134) dahil olmak üzere savunmasız sunucuları bir botnet’e dahil etmek için tarama geçmişine sahiptir.
Kinsing aktörleri ayrıca, bir kripto madencisini başlatmak ve ardından kötü amaçlı yazılımı diğer kapsayıcılara ve ana bilgisayarlara yaymak için yanlış yapılandırılmış açık Docker Daemon API bağlantı noktaları aracılığıyla kapsayıcı ortamlarına karşı kampanyalarda yer aldı.
En son saldırı dalgası, aktörün, iki yıllık bir uzaktan kod yürütme (RCE) hatası olan CVE-2020-14882’yi (CVSS puanı: 9.8) sunucunun kontrolünü ele geçirmek ve kötü niyetli yükleri düşürmek için yama uygulanmamış sunuculara karşı silahlandırmasını gerektiriyor.
Güvenlik açığının geçmişte birden fazla botnet tarafından Monero madencilerini ve Tsunami arka kapısını virüslü Linux sistemlerinde dağıtmak için kullanıldığını belirtmekte fayda var.
Kusurun başarılı bir şekilde kullanılması, bir dizi eylemden sorumlu olan bir kabuk betiğinin konuşlandırılmasıyla başarılı oldu: /var/log/syslog sistem günlüğünün kaldırılması, güvenlik özelliklerini ve bulut hizmeti aracılarının Alibaba ve Tencent’ten kapatılması ve rakip madencinin öldürülmesi süreçler.
Kabuk betiği daha sonra Kinsing kötü amaçlı yazılımını uzak bir sunucudan indirmeye devam ederken, aynı zamanda cron işi aracılığıyla kalıcılığı sağlamak için adımlar atıyor.
Trend Micro, “Bu güvenlik açığından başarıyla yararlanılması, saldırganların etkilenen sistemlerde çok sayıda kötü amaçlı etkinlik gerçekleştirmesine olanak tanıyan RCE’ye yol açabilir” dedi. “Bu, kötü amaçlı yazılım yürütmeye kadar değişebilir. […] kritik verilerin çalınmasına ve hatta güvenliği ihlal edilmiş bir makinenin tam kontrolüne kadar.”
TeamTNT oyuncuları Kanguru Saldırısı ile geri dönüyor
Geliştirme, Aqua Security araştırmacılarının, Kasım 2021’de gönüllü olarak dükkanı kapatan TeamTNT adlı başka bir “canlı” kripto hırsızlığı grubuyla bağlantılı üç yeni saldırı belirlemesiyle geldi.
Aqua Security araştırmacısı Assaf Morag, “TeamTNT, yanlış yapılandırılmış bir Docker Daemon için tarama yapıyor ve bir C2 sunucusuna bir kabuk komut dosyası (k.sh) indirmek için bir komut satırı ile bir vanilya kapsayıcı görüntüsü olan alpine’i dağıtıyor.” Dedi.
Saldırı zinciriyle ilgili dikkate değer olan şey, başarılı olursa oyuncuya herhangi bir kripto para cüzdanının anahtarlarını hesaplama yeteneği verebilecek olan SECP256K1 şifrelemesini kırmak için tasarlanmış gibi görünmesidir. Başka bir deyişle, amaç, ECDLP çözücüyü çalıştırmak ve anahtarı almak için hedeflerinin yüksek ancak yasa dışı hesaplama gücünden yararlanmaktır.
Grup tarafından düzenlenen diğer iki saldırı, açıkta kalan Redis sunucularının ve bozuk para madencilerini ve Tsunami ikili dosyalarını dağıtmak için yanlış yapılandırılmış Docker API’lerinin istismar edilmesini gerektiriyor.
TeamTNT’nin Docker REST API’lerini hedeflemesi, geçtiğimiz yıl boyunca iyi belgelenmiştir. Ancak Trend Micro tarafından tespit edilen operasyonel bir güvenlik hatasında, saldırgan tarafından kontrol edilen iki DockerHub hesabıyla ilişkili kimlik bilgileri ortaya çıkarıldı.
Alpineos ve sandeep078 hesaplarının rootkit’ler, Kubernetes istismar kitleri, kimlik bilgileri hırsızları, XMRig Monero madencileri ve hatta Kinsing kötü amaçlı yazılımı gibi çeşitli kötü amaçlı yükleri dağıtmak için kullanıldığı söyleniyor.
Trend Micro’dan Nitesh Surana, “Alpineo hesabı, balküplerimizde Eylül ortasından Ekim 2021’in başına kadar üç kez istismar girişimlerinde kullanıldı ve dağıtımların IP adreslerini Almanya’daki konumlarına kadar takip ettik.” Dedi.
“Tehdit aktörleri DockerHub kayıt defterindeki hesaplarına giriş yapmış ve muhtemelen çıkış yapmayı unutmuşlardır.” Alternatif olarak, “tehdit aktörleri, alpineoların kimlik bilgilerini kullanarak DockerHub hesaplarına giriş yaptı.”
Trend Micro, kötü niyetli alpineos görüntüsünün 150.000’den fazla kez indirildiğini ve Docker’ı bu hesaplar hakkında bilgilendirdiğini söyledi.
Ayrıca kuruluşlara, ortadaki düşman (AiTM) saldırılarını azaltmak için açıkta kalan REST API’sini TLS ile yapılandırmalarını ve ayrıca kullanıcı kimlik bilgilerini barındırmak için kimlik bilgileri depolarını ve yardımcıları kullanmalarını tavsiye ediyor.