Bilgisayar korsanları, ev sahiplerinin keşfini ve uzlaşmasını otomatikleştiren yeni Golang tabanlı kötü amaçlı yazılımlarla Apache Hadoop iplik, Docker, Confluence veya redis çalıştıran yanlış yapılandırılmış sunucuları hedefliyor.
Kampanyada kullanılan kötü niyetli araçlar, yapılandırma zayıf yönlerinden yararlanır ve makinede kod yürütmek için Atlassian Confluence'daki eski bir güvenlik açığından yararlanır.
Cloud Adli Tıp ve Olay Müdahale Şirketi CADO Security'deki araştırmacılar kampanyayı keşfettiler ve saldırılar, bash senaryoları ve Golang elf ikili dosyalarında kullanılan yükleri analiz ettiler.
Araştırmacılar, izinsiz giriş setinin, bazıları TeamTnt, Watchdog ve Kiss-A-Dog gibi tehdit aktörlerine atfedilen daha önce bildirilen bulut saldırılarına benzer olduğunu belirtiyor.
Bir Docker Engine API Honeypot'ta bir başlangıç erişim uyarısı aldıktan sonra saldırıyı araştırmaya başladılar ve Alpine Linux'un sunucuda ortaya çıkmasına dayanan yeni bir kap.
Sonraki adımlar için, tehdit oyuncusu bir kripto para madencisi kurmak, kalıcılık oluşturmak ve ters bir kabuk kurmak için birden fazla kabuk komut dosyasına ve ortak Linux saldırı tekniklerine güvenir.
Araştırmacılara göre, bilgisayar korsanları, Hadoop ipliği (H.SH), Docker (D.SH), Confluence (W.SH) ve Redis için ev sahiplerini tanımlamak ve kullanmaktan sorumlu dört yeni Golang yükü dağıtır. (c.sh).
Yüklerin adları muhtemelen onları bash komut dosyaları olarak gizlemek için kötü bir girişimdir. Ancak, 64 bit Golang elf ikili dosyalarıdır.
“İlginç bir şekilde, kötü amaçlı yazılım geliştiricisi ikili dosyaları soymayı ihmal ederek cüce hata ayıklama bilgilerini sağlam bıraktı. İkili dosyalarda ipleri veya diğer hassas verileri gizlemek için hiçbir çaba gösterilmemiştir, bu da onları tersine mühendislik yapmak için önemsiz hale getirir ” -Cado Güvenliği
Bilgisayar korsanları, bu kampanyanın hedefleri için varsayılan olanlar olan açık bağlantı noktaları 2375, 8088, 8090 veya 6379 için bir ağ segmentini taramak için Golang araçlarını kullanır.
“W.SH” durumunda, bir Confluence sunucusu için bir IP adresi keşfettikten sonra, uzak saldırganların kimlik doğrulaması gerekmeden kod yürütmesine izin veren kritik bir güvenlik açığı olan CVE-2022-26134 için bir istismar alır.
Keşfedilen başka bir Golang yükü “fkoths” olarak adlandırılır ve görevi, Docker görüntülerini Ubuntu veya Alpine depolarından silerek başlangıç erişiminin izlerini kaldırmaktır.
CADO Security, saldırganın uzlaşmalarını ilerletmek, ana bilgisayardaki adli etkinliği önlemek ve Monero kripto para birimi için popüler XMRIG madencilik uygulaması da dahil olmak üzere ek yükler getirmek için “AR.SH” adı verilen daha büyük bir kabuk komut dosyası kullandığını buldu.
Komut dosyası ayrıca saldırganın enfekte olmuş sisteme erişimi sürdürmesini, Golang tabanlı ters kabuk platypusunu almasını ve SSH tuşlarını ve ilgili IP adreslerini arayan bir SSH anahtarı ekler.
Kampanyadaki yüklerin çoğu, virüs toplam tarama platformundaki antivirüs motorları tarafından kötü niyetli olarak işaretlenirken, hedef hizmetleri keşfetmek için dört Golang ikili dosyası neredeyse tespit edilmemiştir.
Yüklerden ikisi, w.sh ve c.sh, platformda 10'dan az antivirüs motoru tarafından tespit edilir ve en erken gönderim tarihi, kampanyanın başlangıcında ipucu verebilecek 11 Aralık 2023'tür. Diğer ikisi platformda tespit edilmedi.
CADO Security, kampanyada keşfedilen tüm yükler ve ilişkili uzlaşma göstergeleri için teknik bir analiz paylaştı.
Yeni Migo kötü amaçlı yazılım, Redis sunucularındaki koruma özelliklerini devre dışı bırakıyor
Docker ev sahibi, devam eden web sitesinde hacklenen trafik hırsızlığı şeması
Sızdıran gemiler kusurları, bilgisayar korsanlarının docker, runc kapsayıcılardan kaçmasına izin verir
Bilgisayar korsanları kritik Atlassian Confluence RCE kusurundan yararlanmaya başlar
Atlassian, eski Confluence sürümlerinde kritik RCE kusurunu uyarıyor
Kaynak: Bleeping Computer