Linux sunucularındaki Docker API'leri, Lemon_Duck Botnet operatörlerinden büyük ölçekli bir Monero kripto madencilik kampanyası tarafından hedefleniyor.
Kriptominasyon çeteleri, son yıllarda bildirilen birden fazla seri servis kampanyası ile kötü güvenli veya yanlış yapılandırılmış Docker sistemleri için sürekli bir tehdittir.
Özellikle Lemonduck, daha önce savunmasız Microsoft Exchange sunucularını sömürmeye odaklanıyordu ve ondan önce SSH kaba kuvvet saldırıları, Windows sistemleri ile SMBGHOST'a ve Redis ve Hadoop örneklerini çalıştıran sunucular.
Bugün yayınlanan bir Crowdstrike Raporu'na göre, devam eden Lemon_Duck kampanyasının arkasındaki tehdit aktörünün cüzdanlarını vekalet havuzlarının arkasında saklıyor.
Lemon_duck, maruz kalan Docker API'lerine erişim kazanır ve bir PNG görüntüsü olarak gizlenmiş bir bash betiğini almak için kötü amaçlı bir kap çalışır.
Yük, aşağıdaki eylemleri gerçekleştiren bir Bash dosyası (A.ASP) indirmek için kapta bir cronjob oluşturur:
Alibaba bulut hizmetlerindeki koruma özelliklerinin devre dışı bırakılması, bilinmeyen aktörler tarafından kullanılan Kasım 2021'de kriptominasyon kötü amaçlı yazılımlarında daha önce gözlenmiştir.
Yukarıdaki eylemleri çalıştırdıktan sonra, Bash komut dosyası, CryptoMining Utility Xmrig'i, aktörün cüzdanlarını proxy havuzlarının arkasındaki bir yapılandırma dosyasıyla birlikte indirir ve çalıştırır.
Başlangıçta enfekte edilmiş makine benimkine ayarlandıktan sonra, Lemon_Duck, dosya sisteminde bulunan SSH anahtarlarından yararlanarak yanal harekete çalışır. Bunlar mevcutsa, saldırgan bunları aynı enfeksiyon sürecini tekrarlamak için kullanır.
Bu kampanyaya paralel olan Cisco Talos, Amazon Web hizmetlerindeki maruz kalan Docker API örneklerini de hedefleyen TeamTnt'e atfedilen başka bir kampanyayı rapor ediyor.
Bu Tehdit Grubu ayrıca, Cloud Güvenlik Hizmetlerini, tespiti kaçırmak ve Monero, Bitcoin ve eterin mümkün olduğu kadar uzun süredir devam etmeye devam etmeye çalışıyor.
Docker API dağıtımlarını güvenli bir şekilde yapılandırma ihtiyacının zorunlu olduğu açıktır ve yöneticiler, platformun en iyi uygulamalarını ve güvenlik önerilerini yapılandırmalarına karşı kontrol ederek başlayabilir.
Ayrıca, tüm kaplar üzerinde kaynak tüketim sınırlamaları belirleyin, katı görüntü kimlik doğrulama politikaları uygulayın ve en az ayrıcalık ilkelerini uygular.
Log4shell, artık DDOS Botnets, Cryptominers için kullanılmıştır.
En iyi dereceli bir kurs kütüphanesine ömür boyu erişim ile becerilerinizi geliştirin
Emotet Botnet 64 bit modüllere geçiş yapar, etkinliği artırır
Yeni Gizli Botenago Malware Varyant Hedefleri DVR Cihazları
Atlassian sonunda devam eden bulut kesintisinin nedenini açıklıyor
Kaynak: Bleeping Computer