OracleIV DDoS Botnet, Konteynerleri Ele Geçirmek için Public Docker Engine API’lerini Hedefliyor


14 Kasım 2023Haber odasıBulut Güvenliği / Kötü Amaçlı Yazılım

OracleIV DDoS Botnet

Herkese açık Docker Engine API örnekleri, makineleri dağıtılmış hizmet reddi (DDoS) botnet’ine dahil etmek için tasarlanan bir kampanyanın parçası olarak tehdit aktörleri tarafından hedefleniyor. OracleIV.

Cado araştırmacıları Nate Bill ve Matt Muir, “Saldırganlar, ‘oracleiv_latest’ adlı bir görüntüden oluşturulan ve ELF çalıştırılabilir olarak derlenmiş Python kötü amaçlı yazılımını içeren kötü amaçlı bir Docker kapsayıcısı sunmak için bu yanlış yapılandırmadan yararlanıyor.” dedi.

Kötü amaçlı etkinlik, saldırganların Docker Hub’dan kötü amaçlı bir görüntü almak için Docker’ın API’sine bir HTTP POST isteği kullanmasıyla başlar; bu da, bir komut ve kontrol (C&C) sisteminden bir kabuk komut dosyasını (Oracle.sh) almak için bir komut çalıştırır. ) sunucu.

Oracleiv_latest, liman işçisi için bir MySQL görüntüsü olduğunu iddia ediyor ve bugüne kadar 3.500 kez çekildi. Belki de pek de şaşırtıcı olmayan bir değişiklikle, görüntü aynı sunucudan bir XMRig madencisini ve yapılandırmasını almak için ek talimatlar da içeriyor.

Siber güvenlik

Bununla birlikte bulut güvenlik firması, sahte konteyner tarafından gerçekleştirilen kripto para birimi madenciliğine dair herhangi bir kanıt gözlemlemediğini söyledi. Öte yandan kabuk betiği kısa ve özdür ve Slowloris, SYN Floods ve UDP Floods gibi DDoS saldırılarını gerçekleştirmek için işlevler içerir.

Açığa çıkan Docker örnekleri, son yıllarda genellikle kripto korsanlık kampanyaları için kanal olarak kullanılan kazançlı bir saldırı hedefi haline geldi.

Araştırmacılar, “Geçerli bir uç nokta keşfedildiğinde, akla gelebilecek herhangi bir hedefi gerçekleştirmek için kötü amaçlı bir görüntü alıp ondan bir kapsayıcı başlatmak önemsizdir” dedi. “Kötü amaçlı kapsayıcıyı Docker’ın kapsayıcı görüntü kitaplığı olan Docker Hub’da barındırmak, bu süreci daha da kolaylaştırıyor.”

AhnLab Güvenlik Acil Durum Müdahale Merkezi’ne (ASEC) göre, bu durum yalnızca Docker’la sınırlı değil; savunmasız MySQL sunucuları, Ddostf olarak bilinen başka bir DDoS botnet kötü amaçlı yazılımının hedefi olarak ortaya çıktı.

ASEC, “Ddostf tarafından desteklenen komutların çoğu tipik DDoS botlarının komutlarına benzese de, Ddostf’un ayırt edici özelliği, C&C sunucusundan yeni alınan bir adrese bağlanabilme ve orada belirli bir süre boyunca komutları yürütebilme yeteneğidir.” dedi.

MySQL sunucuları

“Yeni C&C sunucusunda yalnızca DDoS komutları gerçekleştirilebiliyor. Bu, Ddostf tehdit aktörünün çok sayıda sisteme bulaşabileceği ve ardından DDoS saldırılarını bir hizmet olarak satabileceği anlamına geliyor.”

Daha da önemlisi, kaynak kodu 2016’da sızdırılan Mirai’yi temel alan hailBot, kiraiBot ve catDDoS gibi birkaç yeni DDoS botnet’inin ortaya çıkmasıdır.

Siber güvenlik

Siber güvenlik şirketi NSFOCUS geçen ay yaptığı açıklamada, “Bu yeni geliştirilen Truva atları ya kritik bilgileri gizlemek için yeni şifreleme algoritmaları sunuyor ya da canlıya geçiş sürecini değiştirerek ve daha gizli iletişim yöntemleri tasarlayarak kendilerini daha iyi gizliyor.”

Bu yıl yeniden ortaya çıkan bir diğer DDoS kötü amaçlı yazılımı, Linux cihazlarına bulaşan ve ilgilenilen hedeflere yönelik DDoS saldırıları için onları “zombilere dönüştüren” XorDdos’tur.

Palo Alto Networks Birim 42, kampanyanın Temmuz 2023 sonlarında başladığını ve 12 Ağustos 2023 civarında zirveye ulaştığını söyledi.

Şirket, “Kötü amaçlı yazılım bir cihaza başarılı bir şekilde sızmadan önce, saldırganlar hedeflerindeki potansiyel güvenlik açıklarını belirlemek için HTTP isteklerini kullanarak bir tarama süreci başlattı.” dedi. “Tehdit, tespit edilmekten kurtulmak için sürecini mevcut kullanıcı oturumundan bağımsız olarak çalışan bir arka plan hizmetine dönüştürüyor.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link