Watchdog Hacking Group, izinsiz giriş, solucan benzeri yayılma ve güvenlik yazılımının kaçınması için gelişmiş tekniklerle yeni bir kriptaj kampanyası yürütüyor.
Hacking grubu, maruz kalan Docker Motor API uç noktalarını ve Redis sunucularını hedefler ve bir uzlaşmacı makineden tüm ağa hızla dönebilir.
Tehdit aktörlerinin amacı, kötü güvenli sunucuların mevcut hesaplama kaynaklarını kullanarak kripto para madenciliği ile kâr elde etmektir.
CADO Labs'taki araştırmacılar, tehdit oyuncunun kendine özgü taktiklerini analiz ederek yeni hackleme kampanyasını keşfettiler ve bekçiye atıflarından emin.
WatchDog, açık bir bağlantı noktası 2375 ile yanlış yapılandırılmış Docker motor API uç noktalarından ödün vererek saldırıları başlatır ve varsayılan ayarlarda arka planemere erişmelerini sağlar.
Oradan, Bekçisi kapları listeleyebilir veya değiştirebilir ve üzerlerinde keyfi kabuk komutları çalıştırabilir. Bilgisayar korsanlarının çalıştırdığı ilk kabuk komut dosyası, ana bilgisayarın enfeksiyon durumunu kontrol eden, işlemleri listeleyen ve ikinci aşama yükü "AR.sh" getiren "Cronb.sh" dır.
Bu ikinci komut dosyası, kabuk komut dosyasını gizleyen bir işlemi yürütmek için PS komutunu kullanır. Ek olarak, adli uzmanları yanıltmak için kabuk yürütme günlüklerinde zaman damgası manipülasyonu ("zamanlama") gerçekleştirir.
Bu yük aynı zamanda belirli bulut hizmetindeki güvenlik sistemini devre dışı bırakmak için bir Alibaba bulut aracısı çıkarıcı içerir.
Son olarak, tehlikeye atılan makineye bir XMRIG madenci yükü düşürülür ve kalıcılık için bir SystemD hizmet ünitesi eklenir. Tüm bunların gerçekleşmesi için, bilgisayar korsanları tarafından kaldırılan kullanıcı hesabının kök ayrıcalıkları olması gerekir.
Üçüncü aşama yük, ağı geçerli döndürme noktaları için aramak için ZGRab, Masscan ve PNSCAN'ı içerir ve yayılmadan sorumlu son iki komut dosyasını "C.SH" ve "D.SH" i indirir.
Bunlar, ana dizin takma adına benzer görünümü nedeniyle kaçırılması kolay olan yeni oluşturulan "…" adlı yeni oluşturulan bir dizinde saklanır ve bir inceleme sırasında göz ardı edilme olasılığını artırır.
İlk komut dosyası olan "C.SH", Selinux'u devre dışı bırakır ve diğer tüm erişimi dışarıdan keserken ağdaki Redis sunucuları ile iletişim kurmak için "ulimit" ve "iptables" yapılandırır.
İkinci komut dosyası "D.SH" benzerdir, ancak Redis yerine, diğer Docker Motor API uç noktalarını hedefler ve bunları ilk erişim komut dosyasını "cronb.sh" çalıştıran bağcıklı bir Alpin Linux kabı ile enfekte eder.
WatchDog tarafından kullanılan komut dosyalarının çoğu, TeamTnt olarak bilinen bir rakip hack grubu için logolar ve referanslar içerir, bu da WatchDog'un araçları rakiplerinden çaldığını gösterir.
CADO, Madencilik için aynı Monero cüzdan adresini kullanmak, URL'lerde B2F628 dizin adını kullanmak ve Oracle ZzhReceive [.] Üst alan adı ve 1.0.4.tar kullanımı gibi Bekçinin 2021 kampanyasıyla örtüşmeyi gösteren birkaç güçlü noktayı vurgular. yük teslimatı için GZ.
Dahası, aktörler artık Cado güvenliğinin kendilerine benzersiz bir şekilde bağlantılı olduğu Golang yüklerini kullanmaktan kaçınıyor, yine de başka bir ilişkilendirme ipucu.
Clipminer Malware Gang, kripto ödemelerini kaçırarak 1.7 milyon dolar çaldı
Amerikalılar kripto para dolandırıcılarına 1 milyar doların üzerinde kaybettiğini bildiriyor
ABD Senatosu: Govt’un Fidye Yazılımı Dövüşü Sınırlı Raporlama
Elon Musk Deep Fakes yeni bitvex kripto para birimi dolandırıcılık
Sahte binance nft gizemli kutu botları kurbanın kripto cüzdanlarını çalın
Kaynak: Bleeping Computer