TeamPCP hacker grubu, İran’a özel sistemleri hedef alan kötü niyetli bir script ile Kubernetes küme yapılarında saldırı gerçekleştiriyor. Bu tehdit aktörü, Trivy güvenlik tarayıcısına yönelik yapılan tedarik zinciri saldırısının yanı sıra 20 Mart’ta başlayan ‘CanisterWorm’ adı verilen NPM tabanlı bir kampanyadan da sorumlu.
Seçici yok etme yükü
Uygulama güvenliği şirketi Aikido’nun araştırmacıları, Kubernetes küme yapılarına yönelik bu kampanyanın, önceki CanisterWorm olaylarında görülen aynı komut ve kontrol (C2), arka kapı kodu ve bırakma yolunu kullandığını belirtiyor. Ancak, yeni kampanya İran sistemlerine yönelik yıkıcı bir yük içermekte ve diğer bölgelerdeki düğümlerde CanisterWorm arka kapısını kurmakta.
Aikido’ya göre, “Script, CanisterWorm kampanyasında belgelenen aynı ICP canister’ını (tdtqy-oyaaa-aaaae-af2dq-cai[.]raw[.]icp0[.]io) kullanıyor. Aynı C2, aynı arka kapı kodu, aynı /tmp/pglog bırakma yolu.”
“Kubernetes yerel yan hareketi (lateral movement) DaemonSets aracılığıyla TeamPCP’nin bilinen oyun kitabıyla uyumludur, ancak bu varyant daha önce onların gördüğümüzden farklı olarak, özellikle İran sistemlerini hedef alan bir yıkıcı yük ekliyor.”
Aikido araştırmacılarına göre, kötü amaçlı yazılım, İran’ın saat dilimi ve yerel ayarlarını karşılayan her makineyi yok etmek üzere tasarlanmış durumda; Kubernetes’in mevcut olup olmaması önemli değil.
Her iki koşul sağlandığında, script, ‘kube-system’ içinde ‘Host-provisioner-iran’ adında bir DaemonSet dağıtmakta ve ayrıcalıklı konteynerler kullanarak ana makinenin root dosya sistemini /mnt/host içine monte etmektedir. Her pod, ana makine dosya sistemindeki tüm üst düzey dizinleri silen ve ardından ana makinenin yeniden başlatılmasını zorlayan ‘kamikaze’ adlı bir Alpine konteyneri çalıştırır.
Kubernetes mevcutsa ancak sistem İranlı olarak tanımlanmıyorsa, kötü amaçlı yazılım, ana makine dosya sistemini monte eden ayrıcalıklı konteynerlerle ‘host-provisioner-std’ adında bir DaemonSet dağıtır. Veri silmek yerine, her pod ana makine dosya sistemine bir Python arka kapısı yazar ve bunu sistemd servisi olarak kurarak her düğümde kalıcılığını sağlar.
Kubernetes olmayan İran sistemlerinde ise, kötü amaçlı yazılım, mevcut kullanıcıya erişilebilen her dosyayı silerek makinedeki her dosyayı yok eder; bu işlemi rm -rf/ komutunu –no-preserve-root bayrağı ile çalıştırarak yapar. Root ayrıcalıkları yoksa, parola gerektirmeyen sudo denemesi yapar.
kaynak: Aikido
Söz konusu koşulların hiçbiri sağlanmadığında, kötü amaçlı yazılım herhangi bir eylem gerçekleştirmeden çıkış yapıyor.
Aikido, kötü amaçlı yazılımın yakın zamanda güncellenmiş bir versiyonunun, aynı ICP canister arka kapısını kullanarak, Kubernetes tabanlı yan hareketi göz ardı ettiğini ve bunun yerine SSH yayılımı, kimlik doğrulama kayıtlarını geçerli kimlik bilgileri için ayrıştırmayı ve çalınan özel anahtarları kullanmayı tercih ettiğini bildiriyor.
Araştırmacılar, bu etkinlikte dikkat edilmesi gereken bazı önemli göstergeleri vurguladı; bunlar arasında, ele geçirilmiş ana makinelerden gelen ‘StrictHostKeyChecking+no’ içeren dışa dönük SSH bağlantıları, yerel alt ağda 2375 portuna Docker API’sine yönlendiren dış bağlantılar ve kimlik doğrulaması yapılmamış bir Docker API aracılığıyla / dosya sistemini ana montaj noktasında monte eden ayrıcalıklı Alpine konteynerleri bulunmaktadır.
Etkilenen Sistemler
- Kubernetes küme yapıları
- İran saat dilimi ve ayarlarına sahip sistemler
- Ayrıcalıklı konteynerlere sahip Linux tabanlı sistemler
Çözüm ve Korunma
- Tüm sistemlerinizi güncel tutun ve yazılımlarınızı düzenli olarak denetleyin.
- Kubelet ve API sunucularında gerekli güvenlik önlemlerini alın.
- Kubernetes ortamında gereksiz portları kapatın.
- SSH erişimini kısıtlayın ve parola koruması getirin.
Kısa bir özetle, bu tehdit karşısında hemen harekete geçmeli, sistemlerinizi güvence altına almak için gerekli güncellemeleri yapmalısınız. Port kapatmak ve yapılandırma ayarlarını gözden geçirmek de önemlidir.
