هجوم جديد يستهدف Docker: اختراق سوارم Docker
تستهدف Docker Engine API بهدف اختيار المثيلات للانضمام إلى Docker Swarm الخبيث الذي يسيطر عليه ممثل التهديد
كشف باحثو الأمن السيبراني عن حملة جديدة للتعدين الخفي تستهدف Docker Engine API بهدف اختيار المثيلات للانضمام إلى Docker Swarm الخبيث الذي يسيطر عليه ممثل التهديد.
وقد مكّن هذا المهاجمين من “استخدام ميزات التنسيق الخاصة بـ Docker Swarm لأغراض القيادة والتحكم (C2)،” حسبما ذكر باحثا Datadog Matt Muir وAndy Giron. قال في التحليل.
تستفيد الهجمات من Docker للوصول الأولي لنشر أداة تعدين العملة المشفرة على الحاويات المخترقة، مع جلب وتنفيذ حمولات إضافية مسؤولة عن إجراء الحركة الجانبية إلى المضيفين ذوي الصلة الذين يقومون بتشغيل Docker أو Kubernetes أو SSH.
على وجه التحديد، يتضمن ذلك تحديد نقاط نهاية Docker API غير المصادق عليها والمكشوفة باستخدام أدوات المسح عبر الإنترنت، مثل Masscan وZGrab.
في نقاط النهاية الضعيفة، يتم استخدام Docker API لإنتاج حاوية Alpine ثم استرداد البرنامج النصي لشل التهيئة (init.sh) من خادم بعيد (“solscan(.)live”) والذي يتحقق بدوره مما إذا كان يعمل كـ يتم تثبيت المستخدم الجذر والأدوات مثل curl وwget قبل تنزيل عامل منجم XMRig.
مثل حملات التعدين الخفي الأخرى، فإنها تستخدم libprocesshider rootkit لإخفاء عملية التعدين الضارة عن المستخدم عند تشغيل أدوات تعداد العمليات مثل top وps.
تم تصميم برنامج Shell النصي أيضًا لجلب ثلاثة نصوص برمجية أخرى – kube. Lateral.sh و Spread_docker_local.sh و Spread_ssh.sh – من نفس الخادم للحركة الجانبية إلى نقاط نهاية Docker وKubernetes وSSH على الشبكة.
وقال الباحثون إن Spread_docker_local.sh “يستخدم Masscan وzgrab لمسح نطاقات LAN نفسها (…) بحثًا عن العقد ذات المنافذ 2375 و2376 و2377 و4244 و4243 مفتوحة”. “ترتبط هذه المنافذ إما بـ Docker Engine أو Docker Swarm.”
“بالنسبة لأي عناوين IP يتم اكتشافها مع فتح المنافذ المستهدفة، تحاول البرامج الضارة إنتاج حاوية جديدة باسم alpine. تعتمد هذه الحاوية على صورة تسمى upspin، مستضافة على Docker Hub بواسطة المستخدم nmlmweb3.”
تم تصميم صورة upspin لتنفيذ البرنامج النصي init.sh المذكور أعلاه، مما يسمح للبرامج الضارة للمجموعة بالانتشار بطريقة تشبه الدودة إلى مضيفي Docker الآخرين.
علاوة على ذلك، يتم تحديد علامة صورة Docker المستخدمة لاسترداد الصورة من Docker Hub في ملف نصي مستضاف على خادم C2، مما يسمح لممثلي التهديد بالتعافي بسهولة من عمليات الإزالة المحتملة عن طريق تغيير محتويات الملف ببساطة للإشارة إلى ملف مختلف. صورة الحاوية.
أما البرنامج النصي الثالث، Spread_ssh.sh، فهو قادر على اختراق خوادم SSH، بالإضافة إلى إضافة مفتاح SSH ومستخدم جديد يسمى ftp الذي يمكّن الجهات الفاعلة في التهديد من الاتصال عن بعد بالمضيفين والحفاظ على الوصول المستمر.
كما أنه يبحث أيضًا عن ملفات بيانات الاعتماد المختلفة المتعلقة بـ SSH وAmazon Web Services (AWS) وGoogle Cloud وSamba في مسارات الملفات ذات الترميز الثابت داخل بيئة GitHub Codespaces (على سبيل المثال، الدليل “/home/codespace/”)، وإذا كان تم العثور عليها، وتحميلها إلى خادم C2.
في المرحلة النهائية، تقوم كل من حمولات الحركة الجانبية Kubernetes وSSH بتنفيذ برنامج نصي شل آخر يسمى setup_mr.sh الذي يقوم باسترداد وتشغيل عامل تعدين العملة المشفرة.
قالت Datadog إنها اكتشفت أيضًا ثلاثة نصوص برمجية أخرى مستضافة على خادم C2 –
- ar.sh، أحد أشكال init.sh الذي يعدل قواعد iptables ويمسح السجلات ووظائف cron لتجنب الكشف
- TDGINIT.sh، الذي يقوم بتنزيل أدوات الفحص وإسقاط حاوية ضارة على كل مضيف Docker محدد
- pdflushs.sh، الذي يقوم بتثبيت باب خلفي مستمر عن طريق إلحاق مفتاح SSH يتحكم فيه ممثل التهديد بالملف /root/.ssh/authorized_keys
يُعرف TDGINIT.sh أيضًا بتلاعبه بـ Docker Swarm من خلال إجبار المضيف على ترك أي Swarm موجود قد يكون جزءًا منه وإضافته إلى Swarm جديد تحت سيطرة المهاجم.
وقال الباحثون: “يسمح هذا لممثل التهديد بتوسيع سيطرته على مثيلات Docker المتعددة بطريقة منسقة، وتحويل الأنظمة المخترقة بشكل فعال إلى شبكة الروبوتات لمزيد من الاستغلال”.
ليس من الواضح حاليًا من يقف وراء حملة الهجوم، على الرغم من أن التكتيكات والتقنيات والإجراءات التي تم عرضها تتداخل مع تلك الخاصة بمجموعة التهديد المعروفة المعروفة باسم TeamTNT.
وقال Datadog: “توضح هذه الحملة أن الخدمات مثل Docker وKubernetes تظل مثمرة بالنسبة للجهات الفاعلة في مجال التهديد التي تقوم بالتعدين الخفي على نطاق واسع”.
“تعتمد الحملة على تعرض نقاط نهاية Docker API للإنترنت دون مصادقة. وتعني قدرة البرامج الضارة على الانتشار بسرعة أنه حتى لو كانت فرص الوصول الأولي ضئيلة نسبيًا، فإن المكافآت عالية بما يكفي لإبقاء مجموعات البرامج الضارة التي تركز على السحابة متحفزة بدرجة كافية لـ مواصلة شن هذه الهجمات”.
يأتي هذا التطوير في الوقت الذي تسلط فيه Elastic Security Labs الضوء على حملة برامج ضارة متطورة لنظام التشغيل Linux تستهدف خوادم Apache الضعيفة لتحقيق الثبات عبر GSocket ونشر عائلات البرامج الضارة مثل Kaiji وRUDEDEVIL (المعروفة أيضًا باسم Lucifer) التي تسهل رفض الخدمة الموزعة (DDoS) والعملات المشفرة. التعدين على التوالي.
“تضمنت حملة REF6138 تعدين العملات المشفرة، وهجمات DDoS، وغسيل الأموال المحتمل عبر واجهات برمجة التطبيقات الخاصة بالمقامرة، مما سلط الضوء على استخدام المهاجمين للبرامج الضارة المتطورة وقنوات الاتصال الخفية،” هذا ما قاله الباحثان ريمكو سبروتن وروبن جروينود. قال.