Arkasındaki tehdit aktörleri akrabalık cryptojacking operasyonunun, Kubernetes ortamlarına ilk erişimi elde etmek için yanlış yapılandırılmış ve açığa çıkmış PostgreSQL sunucularından yararlandığı tespit edildi.
İkinci bir ilk erişim vektörü tekniği, savunmasız görüntülerin kullanılmasını gerektirir, Microsoft Defender for Cloud’da güvenlik araştırmacısı olan Sunders Bruskin, dedim geçen haftaki bir raporda
Kinsing’in hikayeli bir hedefleme geçmişi var konteynerli ortamlargenellikle yanlış yapılandırılmış açık Docker arka plan programı API bağlantı noktalarından yararlanmanın yanı sıra kripto para madenciliği yazılımını bırakmak için yeni açıklanan istismarları kötüye kullanır.
Geçmişteki tehdit aktörü de ortaya çıktı rootkit kullanmak yoğun kaynak kullanan rakip hizmetleri ve süreçleri sonlandırmaya ve kaldırmaya ek olarak varlığını gizlemek için.
Şimdi Microsoft’a göre, yanlış yapılandırmalar PostgreSQL sunucuları Kinsing aktörü tarafından, şirketin bu şekilde enfekte olmuş “büyük miktarda küme” gözlemlemesiyle, ilk dayanak noktası elde etmek için birlikte seçildi.
Yanlış yapılandırma, bir güven kimlik doğrulama ayarıherhangi bir kimlik doğrulama olmadan sunuculara bağlanmak için kötüye kullanılabilir ve seçenek herhangi bir IP adresinden bağlantıları kabul edecek şekilde ayarlanmışsa kod yürütmeyi başarır.
Bruskin, “Genel olarak, çok çeşitli IP adreslerine erişime izin verilmesi, PostgreSQL kapsayıcısını potansiyel bir tehdide maruz bırakır” dedi.
Alternatif saldırı vektörü, kötü amaçlı yükleri çalıştırmak için uzaktan kod yürütmeye duyarlı PHPUnit, Liferay, WebLogic ve WordPress’in savunmasız sürümlerine sahip sunucuları hedefler.
Dahası, yakın tarihli bir “yaygın kampanya”, saldırganların açık varsayılan WebLogic bağlantı noktası 7001ve bulunursa, kötü amaçlı yazılımı başlatmak için bir kabuk komutu yürütme.
Bruskin, “Kümeyi uygun güvenlik önlemleri olmadan İnternet’e maruz bırakmak, onu dış kaynaklardan gelen saldırılara açık bırakabilir,” dedi. “Ayrıca saldırganlar, görüntülerdeki bilinen güvenlik açıklarından yararlanarak kümeye erişim sağlayabilir.”
