Haberler

Docker Sunucuları, Kripto Madenciliği Saldırısına Uğradı

Linux sunucularındaki Docker API’leri, Lemon_Duck botnet operatörlerinin büyük ölçekli bir Monero kripto madenciliği saldırısı tarafından hedefleniyor.

Kripto madenciliği çeteleri, son yıllarda bildirilen çok sayıda saldırı ile, güvenliği zayıf veya yanlış yapılandırılmış Docker sistemleri için sürekli bir tehdit oluşturuyor.

Özellikle LemonDuck, daha önce savunmasız Microsoft Exchange sunucularından yararlanmaya odaklanıyordu ve ondan önce de SSH kaba kuvvet saldırıları yoluyla Linux makinelerini, SMBGhost’a karşı savunmasız Windows sistemlerini ve Redis ve Hadoop çalıştıran sunucuları hedef aldı.

Bugün yayınlanan bir Crowdstrike raporuna göre, devam eden Lemon_Duck saldırısının arkasındaki tehdit aktörü cüzdanlarını proxy havuzlarının arkasına saklıyor.

Saldırının detayları

Lemon_Duck, açıkta kalan Docker API’lerine erişim kazanıyor ve PNG görüntüsü olarak gizlenmiş bir Bash scriptini indirmek için kötü amaçlı bir konteyner çalıştırıyor.

Kötü amaçlı bir cronjob ekleme (Crowdstrike)

Yük, aşağıdaki eylemleri gerçekleştiren bir Bash dosyasını indirmek için konteynerde bir cronjob oluşturur:

  • Bilinen madencilik havuzlarının adlarına, rakip kripto madenciliği gruplarına vb. dayalı işlemleri sonlandırma.
  • Crond, sshd ve syslog gibi daemonları sonlandırma.
  • Bilinen güvenlik açığı göstergesi (IOC) dosya yollarını silme.
  • Rakip kripto madenciliği gruplarına ait olduğu bilinen C2’lere ağ bağlantılarını kesme.
  • Alibaba Cloud’un bulut sunucularını riskli etkinliklerden koruyan izleme hizmetini devre dışı bırakma.
Alibaba Bulut monitörünü devre dışı bırakma (Crowdstrike)

Alibaba Cloud hizmetlerindeki koruma özelliklerinin devre dışı bırakılması, daha önce bilinmeyen aktörler tarafından kullanılan, Kasım 2021’de kripto madenciliği yapan kötü amaçlı yazılımlarda da gözlemlenmişti.

Yukarıdaki eylemleri çalıştırdıktan sonra, Bash scripti XMRig kripto madenciliği yardımcı programını indirir ve aktörün cüzdanlarını proxy havuzlarının arkasına gizleyen bir yapılandırma dosyasıyla birlikte çalıştırır.

Başlangıçta virüslü makine madencilik için ayarlandıktan sonra, Lemon_Duck dosya sisteminde bulunan SSH anahtarlarından yararlanarak sistemde yanal hareket etmeye çalışır. Eğer başarılı olursa, saldırgan bunları aynı bulaşma sürecini tekrarlamak için kullanır.

Docker
Dosya sisteminde SSH anahtarlarını arama (Crowdstrike)

Docker tehditlerini kontrol altında tutma

Bu kampanyaya paralel olarak Cisco Talos, TeamTNT’ye atfedilen ve Amazon Web Servislerinde açıkta kalan Docker API örneklerini de hedefleyen başka bir kampanya hakkında rapor yayınladı.

Bu tehdit grubu ayrıca tespit edilmekten kaçınmak ve mümkün olduğunca uzun süre Monero, Bitcoin ve Ether madenciliği yapmaya devam etmek için bulut güvenlik hizmetlerini de devre dışı bırakmaya çalışıyor.

Docker API dağıtımlarını güvenli bir şekilde yapılandırma ihtiyacının zorunlu olduğu açıktır ve yöneticiler, platformun en iyi uygulamalarını ve yapılandırmalarına karşı güvenlik önerilerini kontrol ederek başlayabilir.

Ek olarak, tüm kapsayıcılarda kaynak tüketimi sınırlamaları belirleyin, katı kimlik doğrulama ilkeleri uygulayarak kullanıcılara sadece gerekli ayrıcalıkların verildiğinden emin olun.

Kaynak: Docker servers hacked in ongoing cryptomining malware campaign

Diğer Haberler

QNAP, Apache HTTP Server Zafiyeti İçin Uyardı
Kritik Chipset Zafiyeti Milyonlarca Android Cihazı Etkiliyor
Cisco Umbrella’da Default SSH Key Kimlik Bilgilerinin Çalınmasına İzin Veriyor

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu