Yasadışı bir şekilde kripto para madenciliği yapmak için tasarlanmış fırsatçı saldırıların bir parçası olarak savunmasız Docker ve Kubernetes altyapılarını hedef alan yeni bir kripto hırsızlığı kampanyası ortaya çıkarıldı.
Siber güvenlik şirketi CrowdStrike etkinliği adlandırdı köpek öpücüğükomuta ve kontrol altyapısı, TeamTNT gibi grev yaptığı bilinen diğer gruplarla ilişkili olanlarla örtüşüyor. yanlış yapılandırılmış Docker ve Kubernetes örnekleri.
Eylül 2022’de tespit edilen izinsiz girişler, adlarını “kiss.a-dog” adlı bir alan adından alıyor.[.]Top”, bir Base64 kodlu Python komutu kullanarak güvenliği ihlal edilmiş kapsayıcıda bir kabuk komut dosyası yükünü tetiklemek için kullanılır.
CrowdStrike araştırmacısı Manoj Ahuje, “Yükte kullanılan URL, otomatik kod çözme ve kötü amaçlı alanı almak için normal ifade eşleştirmesini yenmek için ters eğik çizgilerle gizlenmiştir.” söz konusu teknik bir analizde.
Saldırı zinciri, daha sonra, bulut izleme hizmetlerini sonlandırmak ve kaldırmak için adımlar atarken, konteynerden kaçmaya ve ihlal edilen ağa yanal olarak taşınmaya çalışır.
Tespitten kaçınmak için ek yöntemler olarak kampanya, diamorfin ve libprocesshide Kullanıcıdan kötü amaçlı işlemleri gizlemek için rootkit’ler, ikincisi paylaşılan bir kitaplık olarak derlenir ve yol için değer olarak ayarlanır LD_PRELOAD Çevre değişkeni.
Ahuje, “Bu, saldırganların, güvenliği ihlal edilmiş bir kapsayıcıda oluşturulan her işleme kötü amaçlı paylaşılan kitaplıklar eklemesine olanak tanır.” Dedi.
Kampanyanın nihai amacı, XMRig madencilik yazılımını kullanarak gizlice kripto para madenciliği yapmak ve madencilik ve diğer takip eden saldırılar için Redis ve Docker örneklerine arka kapı açmaktır.
Ahuje, “Kripto para birimi fiyatları düştüğü için, bu kampanyalar, düşük rekabet ortamından yararlanmak için Ekim ayında birden fazla kampanya başlatılana kadar son birkaç ayda susturuldu.”
Bulgular ayrıca Sysdig’den araştırmacıların GitHub, Heroku ve Buddy genelinde ücretsiz deneme hesapları için tahsis edilen hesaplamadan yararlanan PURPLEURCHIN adlı başka bir karmaşık kripto madenciliği operasyonunu tamamlamasıyla geldi.[.]Saldırıları ölçeklendirmek için çalışır.
Otomatik freejacking kampanyasında 30 GitHub hesabı, 2.000 Heroku hesabı ve 900 Buddy hesabının kullanıldığı söyleniyor.
Saldırı, her biri bir Docker Hub görüntüsü başlatarak madencilik işlemlerini yürütmek için bir GitHub Eylemine sahip bir depo içeren, aktör kontrollü bir GitHub hesabının oluşturulmasını gerektirir.
Araştırmacılar, “Ücretsiz hesapları kullanmak, kripto madencilerini çalıştırma maliyetini hizmet sağlayıcıya kaydırıyor” söz konusu. “Ancak, birçok dolandırıcılık vakası gibi, ücretsiz hesapların kötüye kullanılması diğerlerini etkileyebilir. Sağlayıcı için daha yüksek harcamalar, meşru müşterileri için daha yüksek fiyatlara yol açacaktır.”