OracleIV DDoS Botnet, Konteynerleri Ele Geçirmek için Public Docker Engine API'lerini Hedefliyor - Dünyadan Güncel Teknoloji Haberleri

OracleIV DDoS Botnet, Konteynerleri Ele Geçirmek için Public Docker Engine API'lerini Hedefliyor - Dünyadan Güncel Teknoloji Haberleri

Oracleiv_latest liman işçisi için bir MySQL görüntüsü olduğu iddia ediliyor ve bugüne kadar 3

Bu yıl yeniden ortaya çıkan bir diğer DDoS kötü amaçlı yazılımı, Linux cihazlarına bulaşan ve ilgilenilen hedeflere yönelik DDoS saldırıları için onları “zombilere dönüştüren” XorDdos’tur OracleIV ) sunucu ”

AhnLab Güvenlik Acil Durum Müdahale Merkezi’ne (ASEC) göre, bu durum yalnızca Docker’la sınırlı değil; savunmasız MySQL sunucuları, Ddostf olarak bilinen başka bir DDoS botnet kötü amaçlı yazılımının hedefi olarak ortaya çıktı

Araştırmacılar, “Geçerli bir uç nokta keşfedildiğinde, akla gelebilecek herhangi bir hedefi gerçekleştirmek için kötü amaçlı bir görüntü alıp ondan bir kapsayıcı başlatmak önemsizdir” dedi ” söz konusu

ASEC, “Ddostf tarafından desteklenen komutların çoğu tipik DDoS botlarının komutlarına benzese de, Ddostf’un ayırt edici özelliği, C&C sunucusundan yeni alınan bir adrese bağlanabilme ve orada belirli bir süre boyunca komutları yürütebilme yeteneğidir Öte yandan kabuk betiği kısa ve özdür ve DDoS saldırılarını gerçekleştirmek için aşağıdaki gibi işlevler içerir: Yavaş loris, SYN taşkınlarıVe UDP taşkınları kayıt edilmiş


14 Kasım 2023Haber odasıBulut Güvenliği / Kötü Amaçlı Yazılım

Herkese açık Docker Engine API örnekleri, makineleri dağıtılmış hizmet reddi (DDoS) botnet’ine dahil etmek için tasarlanan bir kampanyanın parçası olarak tehdit aktörleri tarafından hedefleniyor

Bununla birlikte bulut güvenlik firması, sahte konteyner tarafından gerçekleştirilen kripto para birimi madenciliğine dair herhangi bir kanıt gözlemlemediğini söyledi

Cado araştırmacıları Nate Bill ve Matt Muir, “Saldırganlar, ‘oracleiv_latest’ adlı bir görüntüden oluşturulan ve ELF yürütülebilir dosyası olarak derlenmiş Python kötü amaçlı yazılımını içeren kötü amaçlı bir Docker kapsayıcısı sunmak için bu yanlış yapılandırmadan yararlanıyor

Şirket, “Kötü amaçlı yazılım bir cihaza başarılı bir şekilde sızmadan önce saldırganlar, hedeflerindeki potansiyel güvenlik açıklarını belirlemek için HTTP isteklerini kullanarak bir tarama süreci başlattı” dedi sh) almak için bir komut çalıştırır

Kötü amaçlı etkinlik, saldırganların Docker Hub’dan kötü amaçlı bir görüntü almak için Docker’ın API’sine bir HTTP POST isteği kullanmasıyla başlar; bu da, bir komut ve kontrol (C&C) sisteminden bir kabuk komut dosyasını (Oracle ”



siber-2

“Yeni C&C sunucusunda yalnızca DDoS komutları gerçekleştirilebiliyor ” açıklığa kavuşmuş geçen ay ” söz konusu Bu, Ddostf tehdit aktörünün çok sayıda sisteme bulaşabileceği ve ardından DDoS saldırılarını bir hizmet olarak satabileceği anlamına geliyor Belki de pek de şaşırtıcı olmayan bir değişiklikle, görüntü aynı sunucudan bir XMRig madencisini ve yapılandırmasını almak için ek talimatlar da içeriyor MirayKaynak kodu 2016’da sızdırılan

Siber güvenlik şirketi NSFOCUS, “Bu yeni geliştirilen Truva atları ya kritik bilgileri gizlemek için yeni şifreleme algoritmaları sunuyor ya da canlıya geçiş sürecini değiştirerek ve daha gizli iletişim yöntemleri tasarlayarak kendilerini daha iyi gizliyor 500 kez çekildi ”

HailBot, kiraiBot ve catDDoS gibi birçok yeni DDoS botnet’inin ortaya çıkması da meseleyi daha da karmaşık hale getiriyor

Palo Alto Networks Birim 42, kampanyanın Temmuz 2023 sonlarında başladığını ve 12 Ağustos 2023 civarında zirveye ulaştığını söyledi “Kötü amaçlı kapsayıcıyı Docker’ın kapsayıcı görüntü kitaplığı olan Docker Hub’da barındırmak, bu süreci daha da kolaylaştırıyor

Açığa çıkan Docker örnekleri, son yıllarda genellikle kripto korsanlık kampanyaları için kanal olarak kullanılan kazançlı bir saldırı hedefi haline geldi “Tehdit, tespit edilmekten kurtulmak için sürecini mevcut kullanıcı oturumundan bağımsız olarak çalışan bir arka plan hizmetine dönüştürüyor