İnternet üzerinden açığa çıkan Docker API uç noktaları, karmaşık bir cryptojacking kampanyasının saldırısı altındadır. Komando Kedisi.
“Kampanya, kullanılarak oluşturulan iyi huylu bir kapsayıcıyı dağıtıyor Komando projesi,” Cado güvenlik araştırmacıları Nate Bill ve Matt Muir söz konusu bugün yayınlanan yeni bir raporda. “Saldırgan bu konteynırdan kaçar ve Docker ana bilgisayarında birden fazla veri çalıştırıyor.”
Kampanyanın 2024’ün başından beri aktif olduğuna inanılıyor, bu da onu aylar içinde keşfedilen ikinci kampanya yapıyor. Ocak ayı ortasında, bulut güvenlik firması, XMRig kripto para madencisinin yanı sıra 9Hits Viewer yazılımını dağıtmak için savunmasız Docker ana bilgisayarlarını hedef alan başka bir etkinlik kümesine de ışık tuttu.
Commando Cat, kalıcılığın kaydedilmesinden, ana bilgisayarın arka kapısının açılmasından, bulut hizmet sağlayıcısı (CSP) kimlik bilgilerinin sızdırılmasından ve madencinin başlatılmasından sorumlu olan aktör kontrollü bir sunucudan birbirine bağlı yüklerin bir koleksiyonunu sunmak için Docker’ı ilk erişim vektörü olarak kullanıyor.
Etkilenebilir Docker örneklerinin ihlal edilmesiyle elde edilen dayanak noktası, daha sonra Commando açık kaynak aracını kullanarak zararsız bir konteyneri dağıtmak ve chroot komutu aracılığıyla konteynerin sınırlarından kaçmasına izin veren kötü amaçlı bir komut yürütmek için kötüye kullanılıyor.
Ayrıca “sys-kernel-debugger”, “gsc”, “c3pool_miner” ve “dockercache” isimli servislerin ele geçirilen sistemde aktif olup olmadığını belirlemek için bir dizi kontrol gerçekleştirir ve ancak bu adım başarılı olursa bir sonraki aşamaya geçer. .
Araştırmacılar, “Sys-çekirdek-hata ayıklayıcı kontrolünün amacı belirsiz; bu hizmet, kötü amaçlı yazılımın herhangi bir yerinde kullanılmıyor ve Linux’un bir parçası da değil” dedi. “Hizmetin, saldırganın rekabet etmek istemediği başka bir kampanyanın parçası olması mümkündür.”
Sonraki aşama, komut ve kontrol (C2) sunucusundan, SSH anahtarı ekleyebilen bir kabuk komut dosyası arka kapısı (user.sh) dahil olmak üzere ek yüklerin kaldırılmasını gerektirir. ~/.ssh/authorized_keys dosyası ve saldırganın bildiği bir şifreyle “games” adında hileli bir kullanıcı oluşturmak ve bunu /etc/sudoers dosyası.
Ayrıca Tiny SHell’i ve onun doğaçlama bir versiyonunu bırakmak için tasarlanmış üç kabuk betiği daha (tshd.sh, gsc.sh, aws.sh) da benzer şekilde teslim edilir. netcat gs-netcat adı verilir ve kimlik bilgileri sızdırılır
The Hacker News’e konuşan Muir, tehdit aktörlerinin “cmd.cat/chattr konteynerinde yükü kendi C2 altyapılarından alan bir komut çalıştırdığını” belirterek, bunun curl veya wget kullanılarak ve elde edilen yükü doğrudan bash’a aktararak başarıldığını belirtti. komut kabuğu.
“/tmp kullanmak yerine, [gsc.sh] ayrıca kullanır /dev/shm bunun yerine geçici bir dosya deposu görevi gören ancak bunun yerine bellek desteklenen bir sistemdir” dedi araştırmacılar. “Kötü amaçlı yazılımların /tmp kullanması çok daha yaygın olduğu için bunun bir kaçınma mekanizması olması mümkündür.”
“Bu aynı zamanda artefaktların diske temas etmemesine yol açarak adli tıpı biraz daha zorlaştırıyor. Bu teknik daha önce BPFdoor’da kullanılmıştı; yüksek profilli bir Linux kampanyası“
Saldırı, C2 sunucusundan alınmak yerine doğrudan Base64 kodlu bir komut dosyası olarak teslim edilen başka bir veri yükünün konuşlandırılmasıyla sonuçlanır; bu da XMRig kripto para madencisini düşürür, ancak daha önce virüs bulaşmış makinedeki rakip madenci süreçlerini ortadan kaldırmaz.
Commando Cat’in arkasındaki tehdit aktörünün kesin kökenleri şu anda belirsiz olsa da kabuk komut dosyalarının ve C2 IP adresinin geçmişte TeamTNT gibi kripto korsanlık gruplarıyla bağlantılı olanlarla örtüştüğü gözlemlenmiş ve bu da grubun taklitçi bir grup olabileceği ihtimalini artırıyor .
Araştırmacılar, “Kötü amaçlı yazılım, kimlik bilgisi hırsızı, son derece gizli arka kapı ve kripto para madencisi olarak bir arada işlev görüyor” dedi. “Bu, onu çok yönlü hale getiriyor ve virüslü makinelerden mümkün olduğunca fazla değer çıkarabiliyor.”
