Ο ηθοποιός απειλών γνωστός ως Commando Cat έχει συνδεθεί με μια συνεχιζόμενη εκστρατεία επίθεσης cryptojacking που εκμεταλλεύεται μη ασφαλισμένα instances Docker για την εξόρυξη κρυπτονομισμάτων με στόχο το οικονομικό όφελος.
«Οι εισβολείς χρησιμοποίησαν το Docker image container cmd.cat/chattr, το οποίο ανακτά το ωφέλιμο φορτίο από την υποδομή τους εντολών και ελέγχου (C&C)», ανέφεραν οι ερευνητές της Trend Micro, Sunil Bharti και Shubham Singh, στην ανάλυση τους την Πέμπτη.
Δείτε επίσης: FBI: Η χρήση μη αδειοδοτημένων υπηρεσιών crypto οδηγεί σε οικονομικές απώλειες
Το Commando Cat, που πήρε το όνομά του από τη χρήση του έργου ανοιχτού κώδικα Commando για τη δημιουργία ενός κακόβουλου container, τεκμηριώθηκε για πρώτη φορά φέτος από την Cado Security.
Οι επιθέσεις χαρακτηρίζονται από τη στόχευση κακώς διαμορφωμένων διακομιστών Docker με απομακρυσμένα API για την ανάπτυξη ενός Docker image με το όνομα cmd.cat/chattr. Αυτή η εικόνα στη συνέχεια χρησιμοποιείται ως βάση για τη δημιουργία ενός container, το οποίο παρακάμπτει τους περιορισμούς του χρησιμοποιώντας την εντολή chroot για να αποκτήσει πρόσβαση στο host operating system.
Το τελευταίο βήμα περιλαμβάνει την ανάκτηση του κακόβουλου δυαδικού αρχείου miner μέσω μιας εντολής curl ή wget από έναν διακομιστή C&C (“leetdbs.anndns[.]net/z”), μέσω ενός shell script. Το δυαδικό αρχείο θεωρείται ότι είναι το ZiggyStarTux, ένα bot ανοιχτού κώδικα IRC, βασισμένο στο κακόβουλο λογισμικό Kaiten (γνωστό και ως Tsunami).
«Η σημασία αυτής της εκστρατείας επίθεσης έγκειται στη χρήση εικόνων Docker για την ανάπτυξη σεναρίων εξόρυξης κρυπτονομισμάτων σε παραβιασμένα συστήματα», δήλωσαν οι ερευνητές. “Αυτή η τακτική επιτρέπει στους εισβολείς να εκμεταλλεύονται ευπάθειες στις διαμορφώσεις Docker, αποφεύγοντας τον εντοπισμό από το λογισμικό ασφαλείας.”
Δείτε περισσότερα: Απατεώνες στοχεύουν χρήστες του Telegram και κλέβουν Toncoins
Η αποκάλυψη έρχεται καθώς η Akamai αποκάλυψε ότι παλαιότερα ελαττώματα ασφαλείας σε εφαρμογές ThinkPHP (όπως τα CVE-2018-20062 και CVE-2019-9082) εκμεταλλεύονται από έναν ύποπτο κινεζόφωνο παράγοντα απειλών για να εγκαταστήσουν ένα κέλυφος Ιστού ονόματι Dama στο πλαίσιο μιας εκστρατείας που εξελίσσεται από τις 17 Οκτωβρίου 2023.
“Το exploit επιχειρεί να ανακτήσει επιπλέον ασαφή κώδικα από έναν άλλο παραβιασμένο διακομιστή ThinkPHP για να αποκτήσει αρχική βάση,” ανέφεραν οι ερευνητές της Akamai, Ron Mankivsky και Maxim Zavodchik. “Μετά την επιτυχή εκμετάλλευση του συστήματος, οι εισβολείς εγκαθιστούν ένα κέλυφος Ιστού στην κινεζική γλώσσα, γνωστό ως Dama, για να διατηρούν μόνιμη πρόσβαση στον διακομιστή.”
Το κέλυφος Ιστού διαθέτει μια πληθώρα προηγμένων δυνατοτήτων, όπως η συλλογή δεδομένων συστήματος, η μεταφόρτωση αρχείων, η σάρωση δικτύων, η κλιμάκωση προνομίων και η πλοήγηση στο σύστημα αρχείων. Αυτές οι δυνατότητες συχνά χρησιμοποιούνται για σκοπούς απόκρυψης δραστηριοτήτων.
Διαβάστε ακόμη: Ποια χαρακτηριστικά προσωπικότητας μας καθιστούν πιο ευάλωτους στο phishing
«Οι πρόσφατες επιθέσεις από αντιπάλους που μιλούν κινεζικά καταδεικνύουν μια αυξανόμενη τάση hackers να χρησιμοποιούν πλήρως ανεπτυγμένα web shell για προηγμένο έλεγχο των θυμάτων», σημείωσαν οι ερευνητές. «Είναι ενδιαφέρον ότι δεν χρησιμοποιούσαν όλοι οι στοχευμένοι πελάτες το ThinkPHP, κάτι που υποδηλώνει ότι οι εισβολείς ενδέχεται να στοχεύουν ένα ευρύ φάσμα συστημάτων».
Πηγή: thehackernews
