Νέα παραλλαγή κακόβουλου λογισμικού SnipBot
8 Οκτωβρίου, 2024Andariel: Χρηματοοικονομικά κίνητρα και νέα εργαλεία hacking
10 Οκτωβρίου, 2024Οι ερευνητές στον τομέα της κυβερνοασφάλειας έχουν αποκαλύψει μια νέα εκστρατεία εκμετάλλευσης κρυπτονομισμάτων που στοχεύει το API του Docker Engine.
Σκοπός αυτής της εκστρατείας είναι η εκμετάλλευση των ευπαθειών για τη δημιουργία ενός κακόβουλου Docker Swarm υπό τον έλεγχο των hackers.
Αυτή η μέθοδος επιτρέπει στους hackers να αξιοποιούν τις λειτουργίες οργάνωσης του Docker Swarm για σκοπούς διοίκησης και ελέγχου (C2). Eεκμεταλλεύονται το Docker για να αποκτήσουν αρχική πρόσβαση και να εγκαταστήσουν ένα εξορυκτή κρυπτονομισμάτων σε παραβιασμένα κοντέινερ, ενώ παράλληλα αντλούν και εκτελούν επιπλέον φορτωτές που διευκολύνουν το λεγόμενο «side-loading» σε σχετικούς servers.
Οι hackers χρησιμοποιούν εργαλεία σάρωσης διαδικτυακών IP για να εντοπίσουν μη αυθεντικοποιημένα και εκτεθειμένα Docker API endpoints. Σε ευάλωτα endpoints, το Docker API δημιουργεί ένα Alpine container που κατεβάζει ένα script εκκίνησης από απομακρυσμένο διακομιστή, ελέγχοντας αν εκτελείται με δικαιώματα root πριν από τη λήψη του εξορυκτή XMRig. Το script έχει σχεδιαστεί επίσης να επαναλαμβάνει τη διαδικασία κλοπής σε Docker, Kubernetes και SSH endpoints.
Επιπλέον, ορισμένα scripts επιτρέπουν στους hackers να διατηρούν μόνιμη πρόσβαση στους servers, αναζητώντας διαπιστευτήρια και εφαρμόζοντας κακόβουλα εργαλεία. Οι ερευνητές δεν έχουν ακόμη εντοπίσει την ομάδα πίσω από αυτή την εκστρατεία, όμως οι τακτικές και οι διαδικασίες που χρησιμοποιούνται ξεπερνούν αυτές γνωστών ομάδων απειλών, όπως η TeamTNT. Αυτή η εκστρατεία αναδεικνύει την συνεχόμενη εκμετάλλευση υπηρεσιών όπως το Docker και το Kubernetes για την κλίμακα εξόρυξης κρυπτονομισμάτων.