Τα τελευταία χρόνια, οι υπηρεσίες του Docker έχουν γίνει στόχος για κακόβουλους δράστες που αναζητούν καινοτόμους τρόπους για να εκμεταλλευτούν τις ευπάθειές τους. Μια πρόσφατη ανακάλυψη από την εταιρεία ασφάλειας στο cloud, Cado, αποκαλύπτει μια νέα καμπάνια κακόβουλου λογισμικού Docker που χρησιμοποιεί μια διπλή προσέγγιση, εκμεταλλευόμενη τον cryptocurrency miner XMRig και το λογισμικό 9Hits Viewer. Αυτό αποτελεί ένα σημαντικό μετασχηματισμό στις τακτικές που χρησιμοποιούν οι αντίπαλοι, αποδεικνύοντας τις συνεχείς προσπάθειές τους να διαφοροποιήσουν τις στρατηγικές τους και να αξιοποιήσουν τους υποβαθμισμένους διακομιστές.
Δείτε επίσης: Το OracleIV DDoS Botnet Malware στοχεύει API Instances του Docker Engine
Ένα καθηλωτικό χαρακτηριστικό αυτής της καμπάνιας είναι η χρήση της εφαρμογής 9Hits ως φορτίο. Ονομαζόμενη ως “μοναδική λύση κίνησης στον ιστό“, η 9Hits παρουσιάζεται ως “αυτόματη ανταλλαγή κίνησης” όπου τα μέλη μπορούν να αυξήσουν την κίνηση του ιστότοπού τους κερδίζοντας πιστώσεις μέσω μιας αντικειμενοστραφούς περιήγησης Chrome, με την ονομασία 9Hits Viewer. Αυτή η εξέλιξη υπογραμμίζει την προσαρμοστικότητα των κακόβουλων δραστών, πουεπιδιώκουν πάντα νέους τρόπους για να εκμεταλλευτούν παραβιασμένα συστήματα.
Παρά το γεγονός ότι η ακριβής μέθοδος διάδοσης του κακόβουλου λογισμικού σε ευάλωτους διακομιστές Docker παραμένει ασαφής, υπάρχουν υποψίες για τη χρήση μηχανών αναζήτησης όπως το Shodan για τον εντοπισμό δυνητικών στόχων. Μόλις εντοπιστούν, οι διακομιστές ανατρέπονται για να αναπτυχθούν δύο κακόβουλα containers μέσω του Docker API, εκμεταλλευόμενα έτοιμες εικόνες από τη βιβλιοθήκη Docker Hub για το λογισμικό 9Hits και XMRig.
Αντί να επιλέγουν προσαρμοσμένες εικόνες, οι κακόβουλοι φορείς χρησιμοποιούν γενικές εικόνες από το Docker Hub, μια συνηθισμένη τακτική σε επιθέσεις που στοχεύουν το Docker. Αυτή η τεχνική εξασφαλίζει ότι γενικές φωτογραφίες μπορούν να ανακτηθούν και να χρησιμοποιηθούν για τους σκοπούς των επιτιθέμενων. Με την εξαγωγή ενός καταλόγου ιστότοπων για επίσκεψη και την πιστοποίηση με τον 9Hits χρησιμοποιώντας το κουπόνι συνεδρίας, ο 9Hits container εκτελεί κώδικα για τη δημιουργία πιστώσεων. Παράλληλα, ο miner XMRig, που βρίσκεται σε ένα άλλο container, συνδέεται σε ένα ιδιωτικό mining pool, καλύπτοντας την κλίμακα και την κερδοφορία της εκστρατείας.
Δείτε ακόμα: Ποιους στοχεύει η νέα καμπάνια cryptojacking AMBERSQUID;
Για τους παραβιασμένους οικοδεσπότες, αυτή η εκστρατεία έχει ευρεία επίδραση. Η εξάντληση των πόρων είναι ένα βασικό πρόβλημα, καθώς το XMRig κατακτά τους διαθέσιμους πόρους της CPU και το 9Hits καταναλώνει σημαντικό εύρος ζώνης και μνήμη. Σε παραβιασμένους διακομιστές, νόμιμα φορτία εμπειρογνωμόνων αντιμετωπίζουν προβλήματα απόδοσης που εμποδίζουν την κανονική λειτουργία. Επιπλέον, υπάρχει δυνατότητα για πιο σοβαρές παραβιάσεις, καθώς η επιθετική εκστρατεία μπορεί να εξελιχθεί και να αφήσει ένα απομακρυσμένο κέλυφος στο σύστημα, με αποτέλεσμα να αυξηθεί ο κίνδυνος μη εξουσιοδοτημένης πρόσβασης.
Η προστασία των περιβαλλόντων Docker από εξελισσόμενες απειλές, όπως η εκστρατεία κακόβουλου λογισμικού Docker που συζητήθηκε, είναι παραπάνω από σημαντική. Καθώς οι επιτιθέμενοι συνεχίζουν να προσαρμόζονται και να αλλάζουν τις τακτικές τους, η ενημέρωση και η υλοποίηση αξιόπιστων μέτρων ασφαλείας αποτελούν ζωτικής σημασίας παράγοντες. Οι οργανισμοί πρέπει να παραμείνουν επιφυλακτικοί, να ενημερώνουν και να επιδιορθώνουν τα συστήματά τους τακτικά και να εφαρμόζουν τις βέλτιστες πρακτικές ασφάλειας για να ενισχύσουν το περιβάλλον Docker τους απέναντι στους αναδυόμενους κινδύνους.
Δείτε επίσης: Η καμπάνια κλοπής Cloud Credential της TeamTNT στοχεύει τώρα το Azure και το Google Cloud
Πώς μπορούμε να αναγνωρίσουμε και να προλάβουμε τις επιθέσεις με malware;
Η αναγνώριση των επιθέσεων malware απαιτεί προσοχή στα σημάδια που μπορεί να δείχνουν ότι ένα σύστημα έχει μολυνθεί. Αυτά τα σημάδια μπορεί να περιλαμβάνουν απρόσμενες αλλαγές στη συμπεριφορά του υπολογιστή, όπως αυξημένη χρήση της CPU, απρόσμενες αλλαγές στις ρυθμίσεις, ή ακόμη και την απώλεια ελέγχου του ποντικιού ή του πληκτρολογίου.
Για την πρόληψη των επιθέσεων malware, είναι σημαντικό να διατηρείται το λογισμικό και το λειτουργικό σύστημα ενημερωμένα. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να αποτρέψουν την εκτέλεση του malware. Επίσης, είναι σημαντικό να χρησιμοποιείται ένα αξιόπιστο πρόγραμμα anti-malware, το οποίο πρέπει να είναι επίσης ενημερωμένο.
Επιπλέον, η εκπαίδευση των χρηστών σχετικά με τις τακτικές που χρησιμοποιούν οι επιτιθέμενοι για τη διανομή του malware μπορεί να βοηθήσει στην πρόληψη των επιθέσεων. Αυτό μπορεί να περιλαμβάνει την εκμάθηση των τρόπων αναγνώρισης των phishing επιθέσεων, την αποφυγή λήψης αρχείων από μη αξιόπιστες πηγές, και την αποφυγή ύποπτων συνδέσμων.
Τέλος, η χρήση δικτυακών φραγμάτων και άλλων εργαλείων ασφαλείας δικτύου μπορεί να βοηθήσει στην προστασία ενάντια στις επιθέσεις malware. Αυτά τα εργαλεία μπορούν να παρακολουθούν την κίνηση του δικτύου για ανώμαλη συμπεριφορά που μπορεί να υποδεικνύει μια επίθεση και να αποκλείσουν την κίνηση που φαίνεται ύποπτη.
Πηγή: securityboulevard
