Herkese açık Docker Engine API örnekleri, makineleri dağıtılmış hizmet reddi (DDoS) botnet’ine dahil etmek için tasarlanan bir kampanyanın parçası olarak tehdit aktörleri tarafından hedefleniyor. OracleIV.
Cado araştırmacıları Nate Bill ve Matt Muir, “Saldırganlar, ‘oracleiv_latest’ adlı bir görüntüden oluşturulan ve ELF yürütülebilir dosyası olarak derlenmiş Python kötü amaçlı yazılımını içeren kötü amaçlı bir Docker kapsayıcısı sunmak için bu yanlış yapılandırmadan yararlanıyor.” söz konusu.
Kötü amaçlı etkinlik, saldırganların Docker Hub’dan kötü amaçlı bir görüntü almak için Docker’ın API’sine bir HTTP POST isteği kullanmasıyla başlar; bu da, bir komut ve kontrol (C&C) sisteminden bir kabuk komut dosyasını (Oracle.sh) almak için bir komut çalıştırır. ) sunucu.
Oracleiv_latest liman işçisi için bir MySQL görüntüsü olduğu iddia ediliyor ve bugüne kadar 3.500 kez çekildi. Belki de pek de şaşırtıcı olmayan bir değişiklikle, görüntü aynı sunucudan bir XMRig madencisini ve yapılandırmasını almak için ek talimatlar da içeriyor.
Bununla birlikte bulut güvenlik firması, sahte konteyner tarafından gerçekleştirilen kripto para birimi madenciliğine dair herhangi bir kanıt gözlemlemediğini söyledi. Öte yandan kabuk betiği kısa ve özdür ve DDoS saldırılarını gerçekleştirmek için aşağıdaki gibi işlevler içerir: Yavaş loris, SYN taşkınlarıVe UDP taşkınları.
Açığa çıkan Docker örnekleri, son yıllarda genellikle kripto korsanlık kampanyaları için kanal olarak kullanılan kazançlı bir saldırı hedefi haline geldi.
Araştırmacılar, “Geçerli bir uç nokta keşfedildiğinde, akla gelebilecek herhangi bir hedefi gerçekleştirmek için kötü amaçlı bir görüntü alıp ondan bir kapsayıcı başlatmak önemsizdir” dedi. “Kötü amaçlı kapsayıcıyı Docker’ın kapsayıcı görüntü kitaplığı olan Docker Hub’da barındırmak, bu süreci daha da kolaylaştırıyor.”
AhnLab Güvenlik Acil Durum Müdahale Merkezi’ne (ASEC) göre, bu durum yalnızca Docker’la sınırlı değil; savunmasız MySQL sunucuları, Ddostf olarak bilinen başka bir DDoS botnet kötü amaçlı yazılımının hedefi olarak ortaya çıktı.
ASEC, “Ddostf tarafından desteklenen komutların çoğu tipik DDoS botlarının komutlarına benzese de, Ddostf’un ayırt edici özelliği, C&C sunucusundan yeni alınan bir adrese bağlanabilme ve orada belirli bir süre boyunca komutları yürütebilme yeteneğidir.” söz konusu.
“Yeni C&C sunucusunda yalnızca DDoS komutları gerçekleştirilebiliyor. Bu, Ddostf tehdit aktörünün çok sayıda sisteme bulaşabileceği ve ardından DDoS saldırılarını bir hizmet olarak satabileceği anlamına geliyor.”
HailBot, kiraiBot ve catDDoS gibi birçok yeni DDoS botnet’inin ortaya çıkması da meseleyi daha da karmaşık hale getiriyor. MirayKaynak kodu 2016’da sızdırılan .
Siber güvenlik şirketi NSFOCUS, “Bu yeni geliştirilen Truva atları ya kritik bilgileri gizlemek için yeni şifreleme algoritmaları sunuyor ya da canlıya geçiş sürecini değiştirerek ve daha gizli iletişim yöntemleri tasarlayarak kendilerini daha iyi gizliyor.” açıklığa kavuşmuş geçen ay.
Bu yıl yeniden ortaya çıkan bir diğer DDoS kötü amaçlı yazılımı, Linux cihazlarına bulaşan ve ilgilenilen hedeflere yönelik DDoS saldırıları için onları “zombilere dönüştüren” XorDdos’tur.
Palo Alto Networks Birim 42, kampanyanın Temmuz 2023 sonlarında başladığını ve 12 Ağustos 2023 civarında zirveye ulaştığını söyledi.
Şirket, “Kötü amaçlı yazılım bir cihaza başarılı bir şekilde sızmadan önce saldırganlar, hedeflerindeki potansiyel güvenlik açıklarını belirlemek için HTTP isteklerini kullanarak bir tarama süreci başlattı” dedi. kayıt edilmiş. “Tehdit, tespit edilmekten kurtulmak için sürecini mevcut kullanıcı oturumundan bağımsız olarak çalışan bir arka plan hizmetine dönüştürüyor.”