## Nova kampanja zlonamerne programske opreme, ki cilja na Docker
Raziskovalci so odkrili novo kampanjo zlonamerne programske opreme, ki cilja na tehnologije mikrostoritev. Ta kampanja izkorišča **Docker** kot orodje za začetni dostop in uvajanje **rudarjev kriptovalut**. Z vse večjo uporabo oblačnih storitev in mikrostoritev se povečuje tudi ranljivost sistemov, kar napadalcem omogoča, da uspešno izvajajo svoje zlonamerne akcije.
## Kako deluje ta kampanja?
Napadalci so izkoristili **kubelet API** za kompromitacijo [Kubernetes](https://cyberpress.org/major-azure-kubernetes-flaw/) vozlišč. Tako so lahko distribuirali dodatno zlonamerno programsko opremo. Z uporabo **Docker Hub** so omogočili distribucijo zlonamernih tovorov.
### Izkoriščanje Docker API-jev
Internetno-exponirani Docker [API-ji](https://cyberpress.org/cybercriminals-exploit-telegram-apis/) so ključni za napadalce. Ti API-ji omogočajo, da zaženejo Alpine kontejnerje in prikažejo datotečni sistem gostitelja, kar omogoča prenos zlonamernega skripta. Ta skript sproži okužbo in vodi do črvu podobnega širjenja prek oblačne infrastrukture.
#### Detajli o zlonamernih skriptih
– **init.sh**: Ta skript namesti orodja za prenos podatkov, preveri root privilegije, prenese XMRig rudarja in skritor ter izvrši dodatne tovore z C2 strežnika.
– **kube.lateral.sh**: Onemogoča varnostne ukrepe, išče Kubernetes poverilnice in uporablja masscan za iskanje ranljivih Kubernetes vozlišč.
“`plaintext
Zlonamerna programska oprema išče odprta Docker vrata v lokalnem omrežju.
Nato prenese zlonamerne slike s C2 strežnika in izvrši posebne skripte.
“`
### Širitev preko SSH strežnikov
Skript **spread_ssh.sh** je pisan, da preišče omrežje za [SSH strežnike](https://cyberpress.org/supershell-malware-to-target-linux-ssh-servers/). Poskuša jih izkoriščati z ukradenimi poverilnicami in tako širi zlonamerno programsko opremo na nove cilje. Hkrati išče poverilnice oblačnih storitev na kompromitiranih strojih.
#### Napadi in posledice
Zlonamerni skripti uvajajo XMRig rudarje na okužene gostitelje, ki se povežejo z zbirališčem s prednastavljenimi poverilnicami. Trendi kažejo, da ta napad ponuja širše lateralno gibanje v Kubernetes okolju, kar povečuje grožnjo.
### Prepoznavanje in analiza
Pasivna enumeracija C2 je privedla do odkritja dodatnih zlonamernih tovorov. Tu je nekaj ključnih točk:
– **ar.sh**: To je različica init.sh, ki spremeni pravila IPtables, čisti dnevnike in se širi preko SSH.
– **TDGINIT.sh**: Okuži Docker gostitelje in manipulira z Docker Swarm, da se pridruži kužnemu kopičenju.
*Napadalni graf*
## Tveganja za oblačna okolja
Kampanja razkriva, kako globoko lahko vpliva zlonamerna programska oprema na oblačna okolja. Po podatkih [DataDog Security Labs](https://securitylabs.datadoghq.com/articles/threat-actors-leveraging-docker-swarm-kubernetes-mine-cryptocurrency/#attribution), napadalci izkoriščajo napačne konfiguracije Docker API-jev za olajšanje kriptojackinga. Kljub potencialu za bolj zapletene tehnike, se osredotočajo na preproste ranljivosti. To omogoča hitro širjenje in povzročanje znatnih finančnih škod.
## Kako se zaščititi?
Tukaj je nekaj priporočil, kako se zaščititi pred takšnimi grožnjami:
– **Redno posodabljanje**: Zagotovite, da so vsi vaši sistemi ažurni.
– **Monitoriranje**: Sledite nezaželenim aktivnostim znotraj vaših Docker in Kubernetes okolij.
– **Uporaba varnih konfiguracij**: Preverite, da so vaši Docker API-ji pravilno konfigurirani in zaščiteni.
## Sklepna misel
Grožnje, povezane s **zlonamerno programsko opremo**, se nenehno razvijajo. Tehnologije, kot so Docker in Kubernetes, nudijo fleksibilnost, vendar hkrati prinašajo tudi nove varnostne izzive. V svetu, kjer je **kibernetska varnost** vse bolj pomembna, je ključno, da ostanemo obveščeni o najnovejših grožnjah in se proaktivno ukvarjamo z zaščito naših sistemov.
### Preberite tudi:
> Hekerji aktivno izkoriščajo nevarno ranljivost SolarWinds Serv-U
Prispevek je prvotno objavljen na [Cyber Security News](https://cyberpress.org).
