Savunmasız Docker hizmetleri, tehdit aktörlerinin çok yönlü para kazanma stratejisinin bir parçası olarak XMRig kripto para madencisinin yanı sıra 9Hits Viewer yazılımını da kullandığı yeni bir kampanya tarafından hedefleniyor.
Bulut güvenlik firması Cado, “Bu, 9Hits uygulamasını yük olarak dağıtan kötü amaçlı yazılımın ilk belgelenmiş durumudur” dedi söz konusuBu gelişmenin, rakiplerin güvenliği ihlal edilmiş ana bilgisayarlardan para kazanmak için stratejilerini çeşitlendirme arayışında olduklarının bir işareti olduğunu da sözlerine ekledi.
9 İsabet reklam verir kendisi “benzersiz bir web trafiği çözümü” ve hizmet üyelerinin kredi satın alma karşılığında sitelerine trafik çekmelerine olanak tanıyan bir “otomatik trafik değişimi” olarak hizmet vermektedir.
Bu, diğer üyelerin talep ettiği web sitelerini ziyaret etmek için başsız bir Chrome tarayıcı örneği çalıştıran ve sitelerine trafik oluşturmak için ödeme yapacakları kredileri kazanan 9Hits Viewer adlı bir yazılım aracılığıyla gerçekleştirilir.
Kötü amaçlı yazılımı savunmasız Docker ana bilgisayarlarına yaymak için kullanılan kesin yöntem şu anda belirsiz ancak olası hedefleri taramak için Shodan gibi arama motorlarının kullanımını içerdiğinden şüpheleniliyor.
Daha sonra sunucular, Docker API aracılığıyla iki kötü amaçlı kapsayıcıyı dağıtmak ve 9Hits ve XMRig yazılımı için Docker Hub kitaplığından hazır görüntüleri almak üzere ihlal ediliyor.
Güvenlik araştırmacısı Nate Bill, “Bu, Docker’ı hedef alan kampanyalar için yaygın bir saldırı vektörüdür; kendi amaçları için özel bir görüntü getirmek yerine Dockerhub’dan (neredeyse her zaman erişilebilir olacak) genel bir görüntü alıp bunu kendi ihtiyaçları için kullanırlar” dedi. .
9Hits kapsayıcısı daha sonra, oturum belirteçlerini kullanarak 9Hits ile kimlik doğrulaması yaparak ve ziyaret edilecek sitelerin listesini çıkararak saldırgan için kredi oluşturmak üzere kod yürütmek için kullanılır.
Tehdit aktörleri ayrıca planı yetişkinlere yönelik siteleri veya pop-up’lar gösteren siteleri ziyaret etmeye izin verecek, ancak kripto para birimiyle ilgili siteleri ziyaret etmesini engelleyecek şekilde yapılandırdı.
Diğer konteyner, özel bir madencilik havuzuna bağlanan bir XMRig madencisini çalıştırmak için kullanılıyor ve bu da kampanyanın ölçeğini ve karlılığını belirlemeyi imkansız hale getiriyor.
Bill, “Bu kampanyanın güvenliği ihlal edilmiş ana bilgisayarlar üzerindeki ana etkisi kaynak tükenmesidir, çünkü XMRig madenci mümkün olan tüm CPU kaynaklarını kullanırken 9hits büyük miktarda bant genişliği, bellek ve kalan az miktarda CPU’yu kullanacak” dedi.
“Bunun sonucunda virüs bulaşmış sunuculardaki meşru iş yükleri beklendiği gibi çalışamayacak. Ayrıca kampanya, sistemde uzak bir kabuk bırakacak şekilde güncellenebilir ve bu da potansiyel olarak daha ciddi bir ihlale neden olabilir.”