Yanlış yapılandırılmış Docker API örnekleri, onları bir kripto para birimi madenciliği botnet’e dönüştüren yeni bir kötü amaçlı yazılım kampanyasının hedefi haline gelmiştir.
Dero para birimi için madencilik yapmak için tasarlanan saldırılar, kötü amaçlı yazılımları diğer açık docker örneklerine yaymak ve onları sürekli büyüyen bir madencilik botlarına halatlamak için solucan benzeri yetenekleri ile dikkat çekiyor.
Kaspersky, kimliği belirsiz bir tehdit oyuncusunun, güvensiz yayınlanmış bir Docker API’sını kullanarak ve daha sonra yasadışı kriptaj ağını oluşturmak için bu erişimi silahlandırarak çalışan bir konteyner altyapısına ilk erişim sağladığını gözlemlediğini söyledi.
Güvenlik Araştırmacısı Wageh, “Bu, çalışan kapların tehlikeye atılmasına ve yenilerinin sadece kurbanın kripto para madenciliği kaynaklarını kaçırmak için değil, aynı zamanda diğer ağlara yayılmak için dış saldırılar başlatmak için yaratılmasına yol açtı.” Dedi.
Saldırı zinciri iki bileşen aracılığıyla gerçekleştirilir: maruz kalan Docker API’leri ve “Cloud” Dero Cryptourrency madencisi için İnterneti tarayan bir yayılma kötü amaçlı yazılım “Nginx”. Her iki yük de Golang kullanılarak geliştirilmiştir. “Nginx” kullanımı, meşru Nginx web sunucusu olarak maskelenmek ve radarın altında uçmak için kasıtlı bir girişimdir.
Yayılma kötü amaçlı yazılımları, kötü amaçlı yazılımların çalışan faaliyetlerini kaydetmek, madenciyi başlatmak ve varsayılan API bağlantı noktası 2375 açık olan daha duyarlı Docker örneklerini işaretlemek ve bunlardan ödün vermek için rastgele IPv4 ağ alt ağları oluşturmak için sonsuz bir döngü girmek için tasarlanmıştır.
Daha sonra, eşleşen bir IPv4 ile ana bilgisayardaki uzaktan Dockerd daemon’un çalışıp çalışmadığını ve duyarlı olup olmadığını kontrol etmeye devam eder. “Docker -h ps” komutunu yürütemezse, “Nginx” listeden bir sonraki IP adresine geçer.
Wageh, “Uzaktan Dockerd Daemon’un çalıştığını ve duyarlı olduğunu doğruladıktan sonra, Nginx 12 rastgele karakterle bir kap adı üretiyor ve uzak hedefte kötü niyetli bir kap oluşturmak için kullanıyor.” “Ardından Nginx, yeni kapsayıcıyı daha sonra paketleri ‘Docker -h exec Apt -Get -yq güncellemesi’ aracılığıyla güncelleyerek bağımlılıkları yüklemeye hazırlar.”
Yayılma aracı daha sonra, kötü amaçlı yazılımların Docker Daemon ile etkileşime girmesine izin vermek ve diğer ağlara enfekte etmek için harici taramayı gerçekleştirmek için Masscan ve Docker.io’yu kapsayıcıya yükler ve kötü amaçlı yazılımları etkili bir şekilde yayar. Son aşamada, “Nginx” ve “Cloud” iki yük yükü, “Docker -h cp -l/usr/bin/:/usr/bin” komutu kullanılarak konteynere aktarılır.
Kalıcılığı ayarlamanın bir yolu olarak, kabuk girişinde otomatik olarak başlatıldığından emin olmak için “nginx” ikili aktarılan “nginx” ikili “/root/.bash_aliases” dosyasına eklenir. Kötü amaçlı yazılımın bir diğer önemli yönü, uzaktan savunmasız ana bilgisayarlara Ubuntu tabanlı çalışan kapları enfekte etmek için de tasarlanmış olmasıdır.
Kampanyanın nihai amacı, GitHub’da bulunan açık kaynaklı Derohe CLI madencisine dayanan Dero Cryptourrency madencisini yürütmektir.
Kaspersky, etkinliğin, CrowdStrike tarafından daha önce Mart 2023’te Cüzdan Adresine ve kullanılan derod düğümü adreslerine dayalı Kubernetes kümelerini hedefleyen bir dero madenciliği kampanyasıyla örtüştüğünü değerlendirdi. Aynı kampanyanın sonraki bir yinelemesi, Haziran 2024’te Wiz tarafından işaretlendi.
Wageh, “Konteynerize ortamlar, daha önce bilinen bir madencinin ve kötü niyetli kapları oluşturan ve mevcut olanları enfekte eden yeni bir örneklemin bir kombinasyonu ile tehlikeye atıldı.” Dedi. “İki kötü niyetli implant bir C2 sunucusu olmadan yayıldı, konteyner altyapısı olan ve Internet’e güvensiz bir şekilde yayınlanan herhangi bir ağı potansiyel bir hedef haline getiriyor.”
Geliştirme, Ahnlab Güvenlik İstihbarat Merkezi (ASEC), Gelen Talimatları işlemek ve Powershell betiği olarak yürütmek için Pybitmessage eşler arası peer (P2P) iletişim protokolünü kullanan daha önce hiç görülmemiş bir arka kapı ile birlikte Monero Coin Miner’in konuşlandırılmasını içeren bir kampanyayı ayrıntılı olarak anlatıyor.
Kampanyada kullanılan tam dağıtım yöntemi şu anda bilinmemektedir, ancak popüler yazılımın çatlamış sürümleri olarak gizlendiğinden şüpheleniliyor, bu da kullanıcıların bilinmeyen veya güvenilmeyen kaynaklardan dosyaları indirmekten ve meşru dağıtım kanallarına bağlı kalmasını sağlamak için gerekli olmasını sağlıyor.
ASEC, “Bitmessage protokolü, anonimlik ve ademi merkeziyetçilik göz önünde bulundurularak tasarlanmış bir mesajlaşma sistemidir ve aracılar tarafından müdahalenin önlenmesi ve mesaj gönderenlerin ve alıcıların anonimleştirilmesini içerir.” Dedi.
“Tehdit oyuncusu, Python ortamında bu protokolü uygulayan PyBitMessage modülünden, şifreli paketleri normal web trafiğine benzer bir formatta değiştirmek için kullandı. Özellikle C2 komutları ve kontrol mesajları, bitmessage ağındaki gerçek kullanıcılardan gelen mesajlar içinde gizleniyor.”