Linux Sistemlerinde Kripto Para Madenciliği için Docker'a Saldıran LemonDuck Kötü Amaçlı Yazılım

Mevcut bir aktif kötü amaçlı yazılım kampanyasında, Crowdstrike'taki siber güvenlik analistleri, LemonDuck'ın Linux işletim sistemlerinde platformlar arası bir yöntemle kripto para madenciliği yapan platformlar arası bir madencilik botnet'i dağıtmak için Docker komut satırı aracını kullandığını iddia etti.

Kısacası, tehdit aktörleri Linux sistemlerinde kripto para madenciliği yapmak için Docker'ı aktif olarak hedef alıyor. Başlangıçta, Trend Micro araştırmacıları, Haziran 2019'da kurumsal ağları kendilerinden kripto para birimi çalma olasılığı ile test ederken Lemon_Duck kripto madenciliği kötü amaçlı yazılımını keşfettiler.

İlk kez keşfedildiğinde, bot MS SQL hizmetine şu şekilde erişim sağlıyordu:

• Kaba kuvvet saldırıları kullanmak.
• EternalBlue güvenlik açığından yararlanma.
• ProxyLogon güvenlik açığından yararlanma.
• BlueKeep güvenlik açığından yararlanma.

Çeşitli eşzamanlı kampanyalar kullanarak, bu botnet, Monero gibi kripto para birimlerini gerçek zamanlı olarak madenciliği yaparak faaliyetlerinden para kazanmaya çalışır.

Kullanıma sunulan Docker API'si

CrowdStrike, son kötü amaçlı yazılım kampanyalarının ek kaynaklara erişmek için kullanıma sunulan Docker API'lerinden yararlandığını tespit etti.

Tehdit aktörleri öncelikle ilk erişim vektörü olarak kullanıma sunulan Docker API'lerini hedefler. Bu saldırının amacı, zararsız bir PNG dosyası olarak gizlenmiş uzak bir sunucudan bir Bash kabuğu komut dosyasını almak için sahte bir kapsayıcı başlatmaktır.

Docker platformu, kullanıcıların iş yükleri ve bulut hizmetleri için kapsayıcıları kolaylıkla oluşturmasına, çalıştırmasına ve yönetmesine olanak tanır. Docker tarafından geliştiricilerin projelerinin otomasyonunda yardımcı olmak için çeşitli API'ler sağlanır.

Linux soketleri (sockets) veya daemon'ları kullanarak, yukarıda belirtilen API'ler tüm yerel geliştiriciler tarafından kullanılabilir hale getirilebilir ve varsayılan olarak 2375 bağlantı noktasıdır.

En azından Ocak 2021'den bu yana, LemonDuck'ın alanları benzer görüntü dosyası damlalıklarıyla ilişkilendirilmiştir. Ve tarihsel veriler, tehdit aktörlerinin o zamandan beri bu tür damlalıkları kullandığını gösteriyor.

Bash dosyası tarafından gerçekleştirilen eylemler (a.asp)

• Aşağıda Bash dosyası tarafından gerçekleştirilen tüm eylemlerden bahsettik (a.asp):
• Madencilik havuzlarını, rakip madencilik gruplarını ve diğer kripto madenciliği hizmetlerini tanımlar ve süreci buna göre öldürür.
• Crond, sshd ve syslog gibi bilinen daemon'ların işlem kimliklerini yakalayarak hepsini öldürebilir.
• Mevcut işlemleri kesintiye uğratmak için uzlaşma göstergeleri (IOC'ler) olarak tanımlanan tüm parçaları siler.
• Etkin olduğu bilinen bir ağ bağlantısı sonlandırılır.

AWS, Alibaba Cloud'u hedefledi

Değişikliklere ek olarak, kötü amaçlı yazılım yükleri, Amazon Web Services'ı (AWS) tartaklamaya odaklanan aşağıdaki hedeflere odaklanmaya devam ediyor:

• Kripto para madenciliği
• Devamlılık
• Yanal hareket
• Bulut güvenliği çözümlerini devre dışı bırakma

Sömürü girişimleri tarafından kullanılan kripto para madencilerini dağıtmak için özel bir web kabuğu kullanılır. Ancak, diğer sanal para madenciliği programlarının durdurulabilmesi için güvenlik duvarının yeniden kapatılması gerekir.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.