OracleIV botnet kötü amaçlı yazılımı, öncelikle UDP ve SSL tabanlı baskınlar aracılığıyla DDoS saldırıları gerçekleştirmeye odaklanan çeşitli taktikler kullanıyor.
Cado Güvenlik Laboratuarlarındaki siber güvenlik araştırmacıları, halka açık Docker Engine API örneklerini hedef alan ve OracleIV olarak adlandırılan yeni bir (Dağıtılmış Hizmet Reddi) DDoS botnet kötü amaçlı yazılımını ortaya çıkardı.
Bulgular, ELF yürütülebilir dosyası olarak derlenen Python kötü amaçlı yazılımını dağıtmak için Docker kapsayıcılarındaki yanlış yapılandırmalardan yararlanan kötü amaçlı bir kampanyaya yönelik bir araştırmanın parçasıydı.
Son zamanlarda Docker Engine API’leri, mikro hizmet odaklı mimarilerin giderek daha fazla benimsenmesi nedeniyle yöntemin popülerlik kazanması nedeniyle siber suçluların sık sık hedefi haline geldi. Saldırganlar, Docker Engine API’sinin kasıtsız olarak açığa çıkmasından yararlanır ve genellikle kötü amaçlara sahip yükler sağlamak için savunmasız örnekleri tarar.
Yeni OracleIV DDoS botnet kötü amaçlı yazılımı durumunda, saldırganlar Docker’ın API’sine, özellikle /images/create uç noktasına bir HTTP POST isteğiyle erişimi başlatır. Bu, Dockerhub’dan belirli bir görüntüyü getiren bir docker pull komutunu tetikler. Kötü amaçlı görüntü alındıktan sonra saldırganın hedeflerini gerçekleştirmek için bir konteyner başlatılır.
Cado Güvenlik araştırmacıları, “adlı bir görüntü için canlı bir Dockerhub sayfasını ortaya çıkardı”oracleiv_latest“kullanıcı tarafından yüklendi”robbertignacio328832.” Görünüşte zararsız bir “Docker için Mysql görüntüsü” olan görüntü, DDoS bot aracısı olarak görev yapan bir ELF yürütülebilir dosyası olan “Oracle.sh” adlı kötü amaçlı bir veriyi içeriyordu. Daha ileri analizler, XMRig’i ve madenci yapılandırma dosyasını almak için ek komutları ortaya çıkardı.
Yürütülebilir dosyanın statik analizi, Cython ile derlenmiş 64 bitlik bir ELF’yi ortaya çıkardı ve OracleIV kötü amaçlı yazılımının Python kodunun kökenini doğruladı. Kısa ve öz ama etkili olan kötü amaçlı yazılım kodu, farklı DDoS yöntemlerine adanmış çeşitli işlevler içerir.
Araştırmacılar bir blog yazısında şöyle açıkladı: “Bu görüntü, bu yazının yazıldığı sırada hâlâ yayındaydı ve 3.000’den fazla çekime sahipti.” Ek olarak, en son değişikliklerin Cado’nun blogunun yayınlanmasından sadece üç gün önce yayınlanmasıyla birlikte sık sık güncellemeler yapılıyor gibi görünüyor.
Bot, bir Komuta ve Kontrol sunucusuna (C2) bağlanarak sabit kodlu bir parolayla temel kimlik doğrulamayı gerçekleştirir. Cado Güvenlik Laboratuvarları, botnet’in etkinliğini izledi ve başta UDP ve SSL tabanlı baskınlar olmak üzere çeşitli hedeflere yönelik DDoS saldırılarına tanık oldu.
DDoS saldırılarını başlatmak için kullanılan C2 komutları, saldırı türünü, hedef IP’yi/etki alanını, saldırı süresini, hızını ve hedef bağlantı noktasını belirten belirli bir formatı izler. Botnet’in yetenekleri arasında UDP saldırıları, SSL tabanlı saldırılar, SYN saldırıları, yavaşloris tarzı saldırılar ve FiveM sunucusunu ve Valve kaynak motorunu hedef alan protokole özel saldırılar yer alıyor.
OracleIV bir olmasa da tedarik zinciri saldırısı, yanlış yapılandırılmış Docker Engine API dağıtımlarının devam eden tehdidini vurguluyor. Konteynerleştirmenin taşınabilirliği, saldırganların Docker ana bilgisayarlarında kötü amaçlı yükleri tutarlı bir şekilde yürütmesine olanak tanır.
Her ne kadar Cado Security, kötü niyetli kullanıcıyı Docker’a bildirmiş olsa da, kullanıcılardan Dockerhub’dan alınan görüntülerin periyodik değerlendirmelerini yapmaları isteniyor, bu da kötü amaçlı kodlara karşı dikkatli olunması gerektiğinin altını çiziyor.
Sonuç olarak, OracleIV kampanyası internete yönelik hizmetlerin güvenliğinin sağlanmasının ve güçlü ağ savunmalarının uygulanmasının önemini vurgulamaktadır. Docker ve benzeri hizmetlerin kullanıcılarının maruziyetlerini düzenli olarak gözden geçirmeleri ve potansiyel siber güvenlik tehditlerine karşı gerekli önlemleri almaları teşvik edilmektedir.
İLGİLİ MAKALELER
- SSH, Cado’nun Bulut Tehdit Raporunda En Çok Hedeflenen Hizmet Olmaya Devam Ediyor
- Parolanızı değiştirin: Docker ihlale maruz kalır; 190 bin kullanıcı etkilendi
- Bilgisayar korsanları, kötü amaçlı yazılım dağıtmak için Adobe ColdFusion güvenlik açıklarından yararlanıyor
- Yanlış Yapılandırılmış Kubernetes Kümelerinde Kripto Madencilik ve Kötü Amaçlı Yazılım Yayılıyor
- ShellTorch Saldırısı Milyonlarca PyTorch Sistemini RCE Açıklarına Maruz Bırakıyor