HACKING

Golang malware: Στοχεύει Docker, Hadoop, Redis και Confluence

This post was originally published on this site

Οι χάκερς στρέφονται σε κακοδιαμορφωμένους servers που εκτελούν Apache Hadoop YARN, Docker, Confluence ή Redis με νέο malware Golang που αυτοματοποιεί τον εντοπισμό και την επίθεση στους hosts.

Δείτε επίσης: Κακόβουλα Google ads εξαπατούν τους χρήστες Mac να εγκαταστήσουν το Atomic Stealer malware

Τα κακόβουλα εργαλεία που χρησιμοποιούνται στην εκστρατεία εκμεταλλεύονται τις αδυναμίες στη διαμόρφωση και μια παλιά ευπάθεια στο Atlassian Confluence για την εκτέλεση κώδικα στον υπολογιστή.

Οι ερευνητές στην εταιρεία cloud forensics και απόκρισης σε περιστατικά Cado Security ανακάλυψαν το Golang malware και ανέλυσαν τα φορτία που χρησιμοποιήθηκαν σε επιθέσεις, σε bash scripts και σε Golang ELF δυαδικά αρχεία.

Οι ερευνητές σημειώνουν ότι το σύνολο εισβολής είναι παρόμοιο με προηγουμένως αναφερθείσες επιθέσεις στο cloud, μερικές από αυτές αποδίδονται σε απειλητικούς φορείς όπως το TeamTNT, το WatchDog και το Kiss-a-Dog.

Η έρευνα ξεκίνησε μετά τη λήψη ενός πρώτου συναγερμού πρόσβασης σε ένα Docker Engine API, με ένα νέο container βασισμένο σε Alpine Linux να δημιουργείται στον διακομιστή.

Για τα επόμενα βήματα, ο απειλούμενος φορέας βασίζεται σε πολλαπλά shell scripts και κοινές τεχνικές επίθεσης Linux για να εγκαταστήσει έναν εξορυκτή κρυπτονομισμάτων, να εδραιώσει τη διαρκή λειτουργία και να δημιουργήσει ένα αντίστροφο κέλυφος.

Δείτε ακόμα: Τα “TicTacToe Dropper” χρησιμοποιούνται για τη διανομή malware

Νέο κακόβουλο λογισμικό Golang για τον εντοπισμό στόχων

Σύμφωνα με τους ερευνητές, οι χάκερ χρησιμοποιούν ένα σύνολο τεσσάρων καινοτόμων φορτίων Golang malware που ευθύνονται για την αναγνώριση και εκμετάλλευση υποδοχών που εκτελούν υπηρεσίες για τα Hadoop YARN (h.sh), Docker (d.sh), Confluence (w.sh), και Redis (c.sh).

Linux malware

Τα ονόματα των ωφέλιμων φορτίων είναι πιθανώς μια κακή απόπειρα συγκάλυψής τους ως σενάρια bash. Ωστόσο, είναι δυαδικά 64-bit Golang ELF.

Οι χάκερ χρησιμοποιούν τα εργαλεία της Golang για να σαρώσουν ένα τμήμα δικτύου για τις ανοιχτές θύρες 2375, 8088, 8090 ή 6379, οι οποίες είναι οι προεπιλεγμένες για τους στόχους αυτής της εκστρατείας.

Στην περίπτωση του “w.sh,” μετά την ανακάλυψη μιας διεύθυνσης IP για ένα διακομιστή Confluence, ανακαλύπτει ένα exloit για το CVE-2022-26134, μια κρίσιμη ευπάθεια που επιτρέπει σε επιτιθέμενους από απόσταση να εκτελούν κώδικα χωρίς την ανάγκη πιστοποίησης.

Ένας άλλος φορέας Golang malware ονομάζεται “fkoths” και η αποστολή του είναι να αφαιρέσει τα ίχνη της αρχικής πρόσβασης, διαγράφοντας εικόνες Docker από τα αποθετήρια Ubuntu ή Alpine.

Η Cado Security ανέφερε ότι ο επιτιθέμενος χρησιμοποίησε ένα μεγαλύτερο αρχείο κελύφους με την ονομασία “ar.sh” για να προχωρήσει στην παραβίαση, να αποτρέψει την δραστηριότητα στον υπολογιστή και να ανακτήσει επιπλέον φορτία, συμπεριλαμβανομένης της δημοφιλούς εφαρμογής εξόρυξης XMRig για το κρυπτονόμισμα Monero.

Δείτε επίσης: Η πιθανή ύπαρξη κινεζικού malware σε συστήματα των ΗΠΑ αποτελεί «ωρολογιακή βόμβα»

Πώς επηρεάζει το malware την ψηφιακή ασφάλεια;

Το malware, όπως το Golang που αναφέραμε πιο πάνω, είναι μια σημαντική απειλή για την ψηφιακή ασφάλεια. Μπορεί να επηρεάσει την ασφάλεια των ψηφιακών συστημάτων με διάφορους τρόπους, περιλαμβάνοντας την παραβίαση της ιδιωτικότητας, την κλοπή δεδομένων, την καταστροφή αρχείων και την εκτέλεση ανεπιθύμητων λειτουργιών. Ένας από τους πιο συνηθισμένους τρόπους με τους οποίους το κακόβουλο λογισμικό επηρεάζει την ψηφιακή ασφάλεια είναι μέσω της κλοπής προσωπικών και εμπιστευτικών δεδομένων. Το malware μπορεί να εγκατασταθεί στον υπολογιστή ενός χρήστη και να κλέψει πληροφορίες όπως κωδικοί πρόσβασης, πιστωτικές κάρτες, ή άλλα ευαίσθητα δεδομένα. Επιπλέον, μπορεί να προκαλέσει σημαντική ζημιά στα ψηφιακά συστήματα, καταστρέφοντας αρχεία ή αλλοιώνοντας τη λειτουργία τους.

Πηγή: bleepingcomputer

https://www.secnews.gr/security/

%d bloggers like this: