Savunmasız Docker hizmetleri, tehdit aktörlerinin çok yönlü para kazanma stratejisinin bir parçası olarak XMRig kripto para madencisinin yanı sıra 9Hits Viewer yazılımını da kullandığı yeni bir kampanya tarafından hedefleniyor.
Bulut güvenlik firması Cado, “Bu, 9Hits uygulamasını bir yük olarak dağıtan kötü amaçlı yazılımın ilk belgelenmiş vakasıdır” dedi ve bu gelişmenin, saldırganların güvenliği ihlal edilmiş ana bilgisayarlardan para kazanmak için stratejilerini çeşitlendirme arayışında olduklarının bir işareti olduğunu ekledi.
9Hits kendisini “benzersiz bir web trafiği çözümü” ve hizmet üyelerinin kredi satın alma karşılığında sitelerine trafik çekmelerine olanak tanıyan “otomatik trafik değişimi” olarak tanıtıyor.
Bu, diğer üyelerin talep ettiği web sitelerini ziyaret etmek için başsız bir Chrome tarayıcı örneği çalıştıran ve sitelerine trafik oluşturmak için ödeme yapacakları kredileri kazanan 9Hits Viewer adlı bir yazılım aracılığıyla gerçekleştirilir.
Kötü amaçlı yazılımı savunmasız Docker ana bilgisayarlarına yaymak için kullanılan kesin yöntem şu anda belirsiz ancak olası hedefleri taramak için Shodan gibi arama motorlarının kullanımını içerdiğinden şüpheleniliyor.
Daha sonra sunucular, Docker API aracılığıyla iki kötü amaçlı kapsayıcıyı dağıtmak ve 9Hits ve XMRig yazılımı için Docker Hub kitaplığından hazır görüntüleri almak üzere ihlal ediliyor.
Güvenlik araştırmacısı Nate Bill, “Bu, Docker’ı hedef alan kampanyalar için yaygın bir saldırı vektörüdür; kendi amaçları için özel bir görüntü getirmek yerine Dockerhub’dan (neredeyse her zaman erişilebilir olacak) genel bir görüntü alıp bunu kendi ihtiyaçları için kullanırlar” dedi. .
9Hits kapsayıcısı daha sonra, oturum belirteçlerini kullanarak 9Hits ile kimlik doğrulaması yaparak ve ziyaret edilecek sitelerin listesini çıkararak saldırgan için kredi oluşturmak üzere kod yürütmek için kullanılır.
Tehdit aktörleri ayrıca planı yetişkinlere yönelik siteleri veya pop-up’lar gösteren siteleri ziyaret etmeye izin verecek, ancak kripto para birimiyle ilgili siteleri ziyaret etmesini engelleyecek şekilde yapılandırdı.
Diğer konteyner, özel bir madencilik havuzuna bağlanan bir XMRig madencisini çalıştırmak için kullanılıyor ve bu da kampanyanın ölçeğini ve karlılığını belirlemeyi imkansız hale getiriyor.
Bill, “Bu kampanyanın güvenliği ihlal edilmiş ana bilgisayarlar üzerindeki ana etkisi kaynak tükenmesidir, çünkü XMRig madenci mümkün olan tüm CPU kaynaklarını kullanırken 9hits büyük miktarda bant genişliği, bellek ve kalan az miktarda CPU’yu kullanacak” dedi.
“Bunun sonucunda virüs bulaşmış sunuculardaki meşru iş yükleri beklendiği gibi çalışamayacak. Ayrıca kampanya, sistemde uzak bir kabuk bırakacak şekilde güncellenebilir ve bu da potansiyel olarak daha ciddi bir ihlale neden olabilir.”