OracleIV DDoS Botnet, Konteynerleri Ele Geçirmek için Public Docker Engine API'lerini Hedefliyor - Dünyadan Güncel Teknoloji Haberleri

OracleIV DDoS Botnet, Konteynerleri Ele Geçirmek için Public Docker Engine API'lerini Hedefliyor - Dünyadan Güncel Teknoloji Haberleri

“Yeni C&C sunucusunda yalnızca DDoS komutları gerçekleştirilebiliyor

Bu yıl yeniden ortaya çıkan bir diğer DDoS kötü amaçlı yazılımı, Linux cihazlarına bulaşan ve ilgilenilen hedeflere yönelik DDoS saldırıları için onları “zombilere dönüştüren” XorDdos’tur ) sunucu

Şirket, “Kötü amaçlı yazılım bir cihaza başarılı bir şekilde sızmadan önce saldırganlar, hedeflerindeki potansiyel güvenlik açıklarını belirlemek için HTTP isteklerini kullanarak bir tarama süreci başlattı” dedi OracleIV


14 Kasım 2023Haber odasıBulut Güvenliği / Kötü Amaçlı Yazılım

Herkese açık Docker Engine API örnekleri, makineleri dağıtılmış hizmet reddi (DDoS) botnet’ine dahil etmek için tasarlanan bir kampanyanın parçası olarak tehdit aktörleri tarafından hedefleniyor “Kötü amaçlı kapsayıcıyı Docker’ın kapsayıcı görüntü kitaplığı olan Docker Hub’da barındırmak, bu süreci daha da kolaylaştırıyor

Kötü amaçlı etkinlik, saldırganların Docker Hub’dan kötü amaçlı bir görüntü almak için Docker’ın API’sine bir HTTP POST isteği kullanmasıyla başlar; bu da, bir komut ve kontrol (C&C) sisteminden bir kabuk komut dosyasını (Oracle

Bununla birlikte bulut güvenlik firması, sahte konteyner tarafından gerçekleştirilen kripto para birimi madenciliğine dair herhangi bir kanıt gözlemlemediğini söyledi kayıt edilmiş ”

HailBot, kiraiBot ve catDDoS gibi birçok yeni DDoS botnet’inin ortaya çıkması da meseleyi daha da karmaşık hale getiriyor ”



siber-2

“Tehdit, tespit edilmekten kurtulmak için sürecini mevcut kullanıcı oturumundan bağımsız olarak çalışan bir arka plan hizmetine dönüştürüyor Belki de pek de şaşırtıcı olmayan bir değişiklikle, görüntü aynı sunucudan bir XMRig madencisini ve yapılandırmasını almak için ek talimatlar da içeriyor

ASEC, “Ddostf tarafından desteklenen komutların çoğu tipik DDoS botlarının komutlarına benzese de, Ddostf’un ayırt edici özelliği, C&C sunucusundan yeni alınan bir adrese bağlanabilme ve orada belirli bir süre boyunca komutları yürütebilme yeteneğidir

Oracleiv_latest liman işçisi için bir MySQL görüntüsü olduğu iddia ediliyor ve bugüne kadar 3

Açığa çıkan Docker örnekleri, son yıllarda genellikle kripto korsanlık kampanyaları için kanal olarak kullanılan kazançlı bir saldırı hedefi haline geldi ” söz konusu Öte yandan kabuk betiği kısa ve özdür ve DDoS saldırılarını gerçekleştirmek için aşağıdaki gibi işlevler içerir: Yavaş loris, SYN taşkınlarıVe UDP taşkınları Bu, Ddostf tehdit aktörünün çok sayıda sisteme bulaşabileceği ve ardından DDoS saldırılarını bir hizmet olarak satabileceği anlamına geliyor MirayKaynak kodu 2016’da sızdırılan 500 kez çekildi ”

AhnLab Güvenlik Acil Durum Müdahale Merkezi’ne (ASEC) göre, bu durum yalnızca Docker’la sınırlı değil; savunmasız MySQL sunucuları, Ddostf olarak bilinen başka bir DDoS botnet kötü amaçlı yazılımının hedefi olarak ortaya çıktı

Siber güvenlik şirketi NSFOCUS, “Bu yeni geliştirilen Truva atları ya kritik bilgileri gizlemek için yeni şifreleme algoritmaları sunuyor ya da canlıya geçiş sürecini değiştirerek ve daha gizli iletişim yöntemleri tasarlayarak kendilerini daha iyi gizliyor ” söz konusu

Palo Alto Networks Birim 42, kampanyanın Temmuz 2023 sonlarında başladığını ve 12 Ağustos 2023 civarında zirveye ulaştığını söyledi

Araştırmacılar, “Geçerli bir uç nokta keşfedildiğinde, akla gelebilecek herhangi bir hedefi gerçekleştirmek için kötü amaçlı bir görüntü alıp ondan bir kapsayıcı başlatmak önemsizdir” dedi sh) almak için bir komut çalıştırır

Cado araştırmacıları Nate Bill ve Matt Muir, “Saldırganlar, ‘oracleiv_latest’ adlı bir görüntüden oluşturulan ve ELF yürütülebilir dosyası olarak derlenmiş Python kötü amaçlı yazılımını içeren kötü amaçlı bir Docker kapsayıcısı sunmak için bu yanlış yapılandırmadan yararlanıyor ” açıklığa kavuşmuş geçen ay