Haberler

Kripto Para Maden Botneti, AWS ve Docker Kimlik Bilgilerini Çalıyor

TeamTNT isimli kripto para madenciliği botnetinin geçen yaz AWS kimlik bilgilerini çaldığı ortaya çıkmıştı. Botnetin artık Docker API oturum açma bilgilerini de çalmaya başladığı ortaya çıktı. Bu da kullanıcıları internete açık tüm Docker arabirimleri için güvenlik duvarlarını kullanmaya mecbur bırakıyor.

Güvenlik firması Trend Micro’nun analistleri bugün açıkladıkları bir raporda Docker ve AWS kimlik bilgilerini toplayan kripto para madenciliği botneti tespit ettiklerini söylediler.

Araştırmacılar botnet’i TeamTNT olarak bilinen bir siber suç operasyonu ile ilişkilendirdiler. Bu grubun ilk olarak 2020 yazında yanlış yapılandırılmış konteyner platformlarına kripto para madenciliği amaçlı kötü amaçlı yazılımları yüklediği tespit edildi.

O zamanki ilk raporlara göre, TeamTNT’nin yönetim API bağlantı noktalarını çevrimiçi olarak parola olmadan açığa çıkaran Docker sistemlerini arayarak konteyner platformlarına izinsiz giriş yaptığı ortaya çıkmıştı.

Siber güvenlik araştırmacıları, TeamTNT grubunun açıkta kalan Docker konteynerlerine erişebileceğini ve bir kripto madenciliği kötü amaçlı yazılım kurabileceğini söyledi. Bununla birlikte, daha fazla sunucuyu etkilemek ve daha fazla kripto madencisini dağıtmak için bir şirketin diğer BT sistemlerine girmek amacıyla Amazon Web Services (AWS) sunucularının kimlik bilgilerini çalabildiklerini de bildirdiler.

Araştırmacılar o zamanlar, TeamTNT’nin AWS kimlik bilgilerini toplamaya adanmış bir özelliği uygulayan ilk kripto madenciliği botnet olduğunu söylemişti.

TEAMTNT geçen zaman ile daha da etkili hale geldi

Ancak bugün yayınlanan bir raporda Trend Micro araştırmacıları, TeamTNT çetesinin kötü amaçlı yazılım kodunun geçen yaz ilk görüldüğünden bu yana önemli güncellemeler aldığını söyledi.

Trend Micro’da kıdemli bir güvenlik araştırmacısı olan Alfredo Oliveira, “Geçmişteki benzer saldırılarla karşılaştırıldığında, bu komut dosyası için geliştirme tekniği çok daha rafine görünüyor” dedi. “Artık sonsuz kod satırları yoktu, örnekler iyi yazılmış ve açıklayıcı adlarla işleve göre düzenlenmişti.”

Oliveira yaptığı açıklamada ayrıca, TeamTNT’nin AWS kredi çalma kodunun üzerine Docker API kimlik bilgilerini toplamak için bir özellik eklediğini de söyledi.

Bu özellik, büyük olasılıkla botnet’in ana bilgisayarlara orijinal Docker API bağlantı noktası tarama özelliği dışında başka giriş noktaları kullanarak giriş yaptığı konteyner platformlarında kullanılıyor.

Oliveira, bu özelliğin eklenmesiyle “[Docker] API kimlik doğrulamasını uygulamanın yeterli olmadığını” ve şirketlerin, güçlü şifreler kullanırken bile Docker yönetim API’lerinin ilk etapta çevrimiçi olarak açığa çıkmamasını sağlamaları gerektiğini belirtiyor.

Kaynak: zdnet.com

Bunlar da İlginizi Çekebilir

Microsoft Teams’e Mart Ayında Yeni Dinamik Görünüm Özelliği Geliyor
PsExec’de 14 Yıllık Zero-Day Zafiyeti Keşfedildi
Apple ve Hyundai Otomobil Üretimi Üzerine Görüşüyor

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu

Reklam Engelleyici Algılandı

ÇözümPark Bilişim Portalı gönüllü bir organizasyon olup tek gelir kaynağı reklamlardır. Bu nedenle siteyi gezerken lütfen reklam engelleme eklentinizi kapatın veya Çözümpark web sitesi için izin tanımı yapın. Anlayışınız için teşekkürler.