Apache Hadoop YARN, Docker, Confluence ve Redis gibi web'e yönelik popüler hizmetleri çalıştıran sunucuları hedef alan karmaşık bir kötü amaçlı yazılım saldırısı tespit edildi.
Bu kampanya, savunmasız ana bilgisayarların keşfedilmesini ve bulaştırılmasını otomatikleştirmek için tasarlanmış dört Golang ikili dosyası da dahil olmak üzere benzersiz ve daha önce bildirilmemiş yüklerin kullanılmasıyla dikkat çekiyor.
Saldırganlar, uzaktan kod yürütmek ve sunuculara ilk erişim elde etmek için Confluence'daki CVE-2022-26134 gibi yaygın yanlış yapılandırmalardan ve bilinen güvenlik açıklarından yararlanmak amacıyla gelişmiş teknikler kullanır.
Bunu takiben, bir kripto para madencisi sunmak, bir ters kabuk oluşturmak ve ele geçirilen sistemlere kalıcı erişim sağlamak için kabuk komut dosyalarını ve Linux saldırı metodolojilerini kullanıyorlar.
İlk Erişim ve Kullanım
Kampanya ilk olarak Docker Engine API bal küpündeki şüpheli etkinliğin ardından ortaya çıkarıldı.
Kötü amaçlı yazılım analizi hızlı ve basit olabilir. Size şu yolu göstermemize izin verin:
- Kötü amaçlı yazılımlarla güvenli bir şekilde etkileşime geçin
- Linux'ta ve tüm Windows işletim sistemi sürümlerinde sanal makine kurulumu
- Bir takımda çalışın
- Maksimum veriyle ayrıntılı raporlar alın
Tüm bu özellikleri şimdi sandbox'a tamamen ücretsiz erişimle test etmek istiyorsanız: ..
ANY.RUN'da kötü amaçlı yazılımları ücretsiz analiz edin
Saldırganlar, Alpine Linux görüntüsünü kullanarak yeni bir kapsayıcı oluşturmak için komutlar verdi ve ana bilgisayarın kök dizinine erişmek için bir bağlama bağlantısı oluşturdu.
Bu teknik Docker saldırılarında yaygın olarak kullanılan bir taktiktir. Saldırganın dosyaları doğrudan ana bilgisayara yazmasına ve Cron işleri aracılığıyla uzaktan kod çalıştırmasına olanak tanır.
Cado Güvenlik Laboratuarlarından araştırmacılar, yanlış yapılandırılmış sistemleri hedef alan, giderek büyüyen bir kötü amaçlı yazılım kampanyası keşfettiler.
Yük Teslimatı ve Kalıcılığı
Birincil yük cronb olarak tanımlanır. sh, güvenlik önlemlerini devre dışı bırakarak, kabuk geçmişini silerek ve kötü amaçlı işlemleri gizlemek için libprocesshider ve diamorphine gibi kullanıcı modu rootkit'leri yükleyerek sistemi daha fazla riske hazırlayan bir kabuk betiğidir.
Ayrıca kötü amaçlı yazılım, SSH anahtarlarını keşfederek ve uzaktan komutlar yürüterek kendisini diğer ana bilgisayarlara yaymaya çalışır.
Kötü amaçlı yazılım, Alibaba Cloud ve Tencent için sistemleri zayıflatmak ve izleme aracılarını kaldırmak üzere tasarlanmış özel kodlarla özellikle bulut ortamlarıyla ilgileniyor.
Bu, önceki kampanyalarda WatchDog gibi tehdit aktörlerinin gözlemlediği bir trend olan, bulut tabanlı altyapıya sızma ve bu altyapıyı kullanmaya yönelik stratejik bir odaklanmayı akla getiriyor.
Savunma ve Azaltma
Bu kampanyanın ortaya çıkışı, web'e yönelik hizmetlerin bilinen güvenlik açıklarına ve yanlış yapılandırmalara karşı güvence altına alınmasının öneminin altını çiziyor.
Kuruluşlara, yazılımlarını düzenli olarak güncellemeleri, şüpheli etkinlikleri izlemeleri ve bu tür karmaşık saldırılara karşı savunma sağlamak için güçlü güvenlik önlemleri almaları tavsiye ediliyor.
Bu yeni kötü amaçlı yazılım kampanyası, Apache, Docker, Redis ve Confluence çalıştıran sunuculara yönelik bir tehdit oluşturuyor ve istismar, kalıcılık ve yanal hareket için gelişmiş tekniklerden yararlanıyor.
Siber tehdit ortamı geliştikçe bilgili ve tetikte olmak, değerli dijital varlıkları ve altyapıyı korumanın anahtarıdır.
IOC'ler
| Dosya adı | SHA256 |
| cronb.sh | d4508f8e722f2f3ddd49023e7689d8c65389f65c871ef12e3a6635bbaeb7eb6e |
| ar.sh | 64d8f887e33781bb814eaefa98dd64368da9a8d38bd9da4a76f04a23b6eb9de5 |
| fkoth'lar | afddbaec28b040bcbaa13decdc03c1b994d57de244befbdf2de9fe975cae50c4 |
| s.sh | 251501255693122e818cadc28ced1ddb0e6bf4a720fd36dbb39bc7dedface8e5 |
| biyoset | 0c7579294124ddc32775d7cf6b28af21b908123e9ea6ec2d6af01a948caf8b87 |
| d.sh | 0c3fe24490cc86e332095ef66fe455d17f859e070cb41cbe67d2a9efe93d7ce5 |
| h.sh | d45aca9ee44e1e510e951033f7ac72c137fc90129a7d5cd383296b6bd1e3ddb5 |
| w.sh | e71975a72f93b134476c8183051fee827ea509b4e888e19d551a8ced6087e15c |
| c.sh | 5a816806784f9ae4cb1564a3e07e5b5ef0aa3d568bd3d2af9bc1a0937841d174 |
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.