Yeni Docker kötü amaçlı yazılımı, CPU'yu kripto madenciliği için çalıyor ve sahte web sitesi trafiğini artırıyor.

Zararlı Docker servisleri, tehdit aktörlerinin XMRig kripto para madencisi ile birlikte 9Hits Viewer yazılımını dağıttığı ve çok yönlü bir gelir elde etme stratejisinin bir parçası olarak kullanılan yeni bir kampanyaya hedef oluyor.

Bu, "9Hits uygulamasının bir yük olarak kullanılmasının ilk belgelenmiş durumu" olup, bulut güvenlik firması Cado'nun belirttiğine göre, bu gelişme, tehdit aktörlerinin gelir elde etmek için komprome edilmiş ana bilgisayarlar üzerinde stratejilerini çeşitlendirmeye her zaman hazır olduklarını gösteriyor.

9Hits, kendisini "benzersiz bir web trafiği çözümü" ve "otomatik bir trafik değişimi" olarak tanıtıyor ve servis üyelerine krediler satın alarak sitelerine trafik çekme imkanı tanıyor.

Bu, 9Hits Viewer adlı bir yazılım aracılığıyla gerçekleştirilir; bu yazılım, diğer üyelerin talep ettiği web sitelerini ziyaret etmek için başsız bir Chrome tarayıcı örneğini çalıştırarak krediler kazanmalarına olanak tanır.

Zararlı yazılımın zafiyetli Docker ana bilgisayarlarına nasıl yayıldığı şu anda net değil, ancak muhtemelen potansiyel hedefleri taranmak üzere Shodan gibi arama motorlarından yararlanılarak gerçekleştirildiği şüphelenmektedir.

Sunucular ardından Docker API aracılığıyla iki zararlı konteyneri dağıtmak ve 9Hits ve XMRig yazılımları için Docker Hub kütüphanesinden hazır görüntüleri çekmek üzere ihlal edilir.

Güvenlik araştırmacısı Nate Bill'e göre, "Bu, Docker'ı hedef alan kampanyalar için yaygın bir saldırı vektörüdür, çünkü amaçları için özel bir görüntü çekmek yerine neredeyse her zaman erişilebilir olan Dockerhub'dan genel bir görüntü çeker ve onu kendi ihtiyaçları için kullanır."

9Hits konteyneri daha sonra, tehdit aktörünün oturum belirteci kullanarak 9Hits'e kimlik doğrulama yapmasını ve ziyaret edilecek sitelerin listesini çıkarmasını sağlayan bir kodu yürütmek için kullanılır.

Tehdit aktörleri ayrıca, yetişkin sitelerini veya popup gösteren siteleri ziyaret etmeye izin verirken kripto para ile ilgili siteleri ziyaret etmeyi engellemek üzere düzenlemeler yapmıştır.

Diğer konteyner, özel bir madencilik havuzuna bağlanan bir XMRig madencisini çalıştırmak için kullanılır ve kampanyanın ölçeği ve karlılığını belirlemek imkansız hale gelir.

"Bu kampanyanın komprome edilmiş ana bilgisayarlar üzerindeki ana etkisi, XMRig madencisi tüm mevcut CPU kaynaklarını kullanırken, 9hits büyük bir bant genişliği, bellek ve kalan az CPU kullanacaktır," diyor Bill.

"Bu durumun sonucu olarak, enfekte sunuculardaki meşru iş yükleri beklenildiği gibi performans gösteremeyecek. Ayrıca kampanya, sistemde uzaktan kabuk bırakmak için güncellenebilir, bu da daha ciddi bir ihlal nedeni olabilir."

Etiket: #ServerSecurity #Cryptocurrency

Kategori: ServerSecurity

Eklenme Tarihi: 19.01.2024