WatchDog Hacking Group'un Çok Aşamalı Cryptojacking Saldırısı

WatchDog hacker grubu tarafından bir cryptojacking saldırısı başlatıldı. Bu kötü amaçlı cryptojacking saldırısı aşağıdaki unsurlardan oluşur:

• İzinsiz giriş için ileri teknikler
• Solucan benzeri yayılma
• Güvenlik yazılımlarından kaçınma

Buna ek olarak, grup güvenliği ihlal edilmiş bir makineden tüm ağa birkaç dakika içinde geçiş yapma yeteneğine sahiptir ve kullanıma açık Docker Engine API uç noktalarını (endpoints) ve kullanıma açık (exposed) Redis sunucularını hedefleyebilir.

Kötü güvenlikli sunucuların hesaplama kaynaklarını kullanarak, tehdit aktörleri kripto para birimlerinin madenciliği yoluyla kar elde etmeyi amaçlamaktadır.

Cado Labs'taki araştırmacıların, tehdit aktörü tarafından kullanılan farklı taktikleri kullanarak hack faaliyetlerinde bir artış gördükleri ve bunu WatchDog'a atfettikleri bildirildi.

Saldırı Döngüsü

WatchDog, açık bir bağlantı noktası olan 2375'i kullanarak, saldırıları başlatmak için yanlış yapılandırılmış Docker Engine API uç noktalarından yararlanır. Daemon enjekte edildikten sonra, bağlantı noktasına bağlı diğer tüm daemon'lara erişebilirler.

Daha sonra WatchDog'un kapsayıcıları listelemesi veya değiştirmesi ve bu kapsayıcılarda rasgele shell komutlarını oradan çalıştırması mümkündür.

Bir komut ele geçirme tekniği kullanan bu komut dosyası, işlemin içeriğini gizlemek üzere bir shell komut dosyası çalıştırmak için ps komutunu kullanır. Ayrıca, zaman damgalarını değiştirmek için shell infazlarından günlükleri manipüle ederek adli tıp uzmanlarını yanıltabilir.

Güvenliği ihlal edilmiş makinede, XMRig adlı bir madencilik yükü bırakılır ve kalıcılık için sistemli bir hizmet eklenir. Tüm bunların gerçekleşmesi için bilgisayar korsanlarının kullandığı hesabın kök ayrıcalıklarına sahip olması zorunludur.

Üçüncü aşama yükünün bir parçası olarak, aşağıdaki öğeler dahil edilmiştir:

• zgrab
• masscan
• pnscan

Ağdaki geçerli pivot noktalarını bulmak ve algoritmaların yayılmasından sorumlu son iki komut dosyasını ("c.sh" ve "d.sh") indirmek için bu üç öğe kullanılır.

İlişkilendirme

WatchDog'un senaryolarının birçoğu, WatchDog'un senaryosunda bahsetmediği bir bilgisayar korsanlığı grubu olan TeamTNT'ye referanslar içeriyor. Bunun bir sonucu olarak, WatchDog bu araçları TeamTNT'den çalmış gibi görünüyor.

Cado, WatchDog'un 2021 kampanyasının mevcut olanla güçlü korelasyonlara sahip olduğu birkaç alanı vurguluyor. Bunun nedeni, Monero madenciliği operatörlerinin Monero'yu depolamak için aynı cüzdan adresini kullanmasıdır.

Bunun dışında, Cado Security'nin benzersiz ilişkilendirme verileri, Cado Security'nin aktörlerin Golang yüklerini kullanmaktan kaçındığı sonucuna varmasını sağladı ve sağlanan başka bir ilişkilendirme ipucu.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.