Devam eden bir kripto madenciliği kampanyası, cephaneliğini yükseltirken, tehdit aktörlerinin izinsiz girişleri gizlemelerini ve radarın altında uçmalarını sağlayan yeni savunma kaçırma taktikleri eklerken, bugün yayınlanan yeni bir araştırma ortaya çıkardı.
Geçmişte kötü amaçlı yazılım operasyonunu izleyen DevSecOps ve bulut güvenlik şirketi Aqua Security’den araştırmacılara göre, 2019’da ilk tespit edilmesinden bu yana, bal küpü sunucularına yönelik toplam 84 saldırı kaydedildi ve bunların dördü 2021’de gerçekleşti. üç yıl. Bununla birlikte, yalnızca 2021’in üçüncü çeyreğinde vahşi doğada 125 saldırı tespit edildi ve bu da saldırıların yavaşlamadığını gösteriyor.
İlk saldırılar, “alpine:latest” adlı bir vanilya görüntüsünü çalıştırdıktan sonra kötü niyetli bir komutun yürütülmesini içeriyordu ve bu, “autom.sh” adlı bir kabuk komut dosyasının indirilmesiyle sonuçlandı.
Araştırmacılar, “Rakipler, saldırılarını gerçekleştirmek için genellikle vanilya görüntüleri ve kötü amaçlı komutlar kullanır, çünkü çoğu kuruluş resmi görüntülere güvenir ve bunların kullanımına izin verir.” söz konusu The Hacker News ile paylaşılan bir raporda. “Yıllar içinde, saldırıyı gerçekleştirmek için resmi resme eklenen kötü amaçlı komut neredeyse hiç değişmedi. Temel fark, autom.sh kabuk komut dosyasının indirildiği sunucudur.”
Kabuk betiği, saldırı dizisini başlatarak, saldırganın “akay” adı altında yeni bir kullanıcı hesabı oluşturmasını ve ayrıcalıklarını bir kök kullanıcıya yükseltmesini sağlar; bu, kripto para birimi madenciliği amacıyla güvenliği ihlal edilmiş makinede hangi keyfi komutların çalıştırıldığını kullanır.
2019’daki kampanyanın ilk aşamalarında madencilik faaliyetini gizlemek için özel teknikler bulunmazken, sonraki sürümler, geliştiricilerinin onu tespit ve incelemeye karşı görünmez tutmak için aldığı aşırı önlemleri gösteriyor; bunların başında güvenlik mekanizmalarını devre dışı bırakma ve bir güvenlik mekanizmasını geri alma yeteneği geliyor. karıştırılmış madencilik kabuğu betiği Base64 ile kodlanmış güvenlik araçlarını dolaşmak için beş kez.
Kripto para madenciliği yapmak için bilgisayarları ele geçirmek için yürütülen kötü amaçlı yazılım kampanyaları, aşağıdakiler gibi birden çok tehdit aktörü tarafından yönetiliyor. akrabalıkiçin interneti tararken bulundu. yanlış yapılandırılmış Docker sunucuları korumasız ana bilgisayarlara girmek ve daha önce belgelenmemiş bir madeni para madenciliği türü yüklemek için.
Bunun üzerine, adında bir bilgisayar korsanlığı grubu TakımTNT oldu gözlemlenen dikkat çekici güvenli olmayan Redis veritabanı sunucuları, Alibaba Elastic Computing Service (ECS) örnekler, açıkta kalan Docker API’leri ve savunmasız Kubernetes kümeleri, hedeflenen ana bilgisayarlarda kök ayrıcalıklarıyla kötü amaçlı kod yürütmek ve ayrıca kripto para birimi madenciliği yüklerini ve kimlik bilgisi hırsızlarını dağıtmak için. Ek olarak, güvenliği ihlal edilmiş Docker Hub hesapları Ayrıca, daha sonra kripto para madencilerini dağıtmak için kullanılan kötü amaçlı görüntüleri barındırmak için kullanılmıştır.
Son haftalarda, Log4j günlük kitaplığındaki güvenlik açıklarının yanı sıra güvenlik açıkları Atlassian Confluence, F5 BIG-IP, VMware vCenter ve Oracle WebLogic Sunucularında yakın zamanda ortaya çıkarılan kripto para hırsızlığı olarak bilinen bir şema olan kripto para madenciliği yapmak üzere makineleri devralmak üzere kötüye kullanıldı. Bu ayın başlarında, ağa bağlı depolama (NAS) cihazı üreticisi QNAP, toplam CPU kullanımının yaklaşık %50’sini işgal edebilecek cihazlarını hedef alan kripto para birimi madenciliği kötü amaçlı yazılımları konusunda uyardı.
Sophos kıdemli tehdit araştırmacısı Sean Gallagher, “Madenciler, siber suçluların bir güvenlik açığını dijital paraya dönüştürmeleri için düşük riskli bir yoldur ve nakit akışları için en büyük risk, rakip madencilerin aynı savunmasız sunucuları keşfetmesidir.” kayıt edilmiş Kötü amaçlı yazılım korumasını devre dışı bırakmak, bir madenci yükünü yürütmek ve Windows kimlik bilgilerini toplamak için bir PowerShell komut dosyasının kullanılmasını içeren bir Tor2Mine madencilik kampanyasının analizinde.
Araştırmacılar, “Autom kampanyası, saldırganların daha karmaşık hale geldiğini, tekniklerini ve güvenlik çözümleriyle tespit edilmekten kaçınma yeteneklerini sürekli olarak geliştirdiğini gösteriyor” dedi. Bu tehditlere karşı korunmak için şüpheli kapsayıcı etkinliğini izlemeniz, dinamik görüntü analizi gerçekleştirmeniz ve ortamları yanlış yapılandırma sorunlarına karşı rutin olarak taramanız önerilir.
.
siber-2
