اخبار فوریبلاک چینحملات سایبری

کرم graboid cryptojacking به هاست های نا امن داکر- Docker حمله می کند

اخبار سایبری

محققان امنیتی اخیراً یک پروژه مخرب Cryptojacking یا سرقت رمزنگاری را کشف کرده اند. در این پروژه با استفاده از ایمیج های Docker، کرم های ظاهراً ناپایدار  توسعه و اجرا می شوند که در آن ماینرها به مدت تقریبا 4 دقیقه در یک میزبان آلوده در حال اجرا هستند.

کانتینرهای داکر محیط هایی با کد و وابستگی های ارائه شده توسط یک برنامه هستند و برای کار در هر زیرساخت پشتیبانی شده ای  که از سیستم عامل جدا شده اند کاربرد دارند. محققان شبکه Palo Alto با جستجوی موتورهای جستجوگر Shodan ، بیش از 2،000 منبع آسیب پذیر Docker که در معرض وب عمومی قرار گرفته اند را پیدا می کنند.

محققان در تجزیه و تحلیل های خود به اسکریپت کنترل سرور Graboid برخورد کردند. در این اسکریپت لیستی بیش از 2،000 آدرس IP  یافت شده که مهاجم قبلاً با هدف میزبانهای آسیب پذیر اسکن کرده است. تعداد افراد آلوده مشخص نیست زیرا این بدافزار اهداف بعدی را بطور اتفاقی از لیست انتخاب می کند.

در این حمله وقتی شخصی به خطر بیفتد، مهاجم دستورات را از راه دور برای بارگذاری و استقرار ایمیج داکر “pocosow / centos” از Docker Hub ارسال می کند. این ایمیج توسط مشتری Docker که برای ارتباط با دیگر میزبان Docker استفاده می شود، تهیه شده است و عملیات رمزگذاری (Monero) از طریق یک کانتینر جداگانه به نام “gakeaws / nginx” صورت می گیرد.
در pocosow / centos ‘ برای بارگیری و اجرای چهار اسکریپت از C2 استفاده می شود:

  • Live.sh – اطلاعات CPU میزبان تحت تأثیر قرار گرفته را ارسال می کند.
  • Worm.sh – لیستی از میزبان های آسیب پذیر را بارگیری می کند، اهداف جدید را انتخاب و از مشتری Docker برای استقرار “pocosow / centos” استفاده می کند.
  • Cleanxmr.sh- عملیات رمزنگاری میزبان تصادفی را متوقف می کند.
  • xmr.sh – آدرس تصادفی را از لیست دستگاههای به خطر افتاده انتخاب کرده و کانتینرهای رمزنگاری شده “gakeaws / nginx” را مستقر می کند.

شبکه های Palo Alto متوجه شدند که Graboid فرمانهایی را از 15 میزبان به خطر افتاده دریافت می کند که 14 مورد از آنها در لیست IP های آسیب پذیر و آخرین مورد با بیش از 50 آسیب پذیری شناخته شده وجود دارد. این مسئله نشانگر این است مبنی بر اینکه آنها به عمد برای اهداف کنترل بدافزار توسط مهاجم مورد سوء استفاده قرار گرفته اند.

Graboid میزبان های جدید به خطر افتاده را با یک پایگاه داده C2 آزمایش می کند و از نرم افزار Docker برای نصب و توزیع کانتینر آلوده از راه دور استفاده می کند.

دیدگاهتان را بنویسید