OracleIV DDoS Botnet, Konteynerleri Ele Geçirmek için Public Docker Engine API'lerini Hedefliyor - Dünyadan Güncel Teknoloji Haberleri

OracleIV DDoS Botnet, Konteynerleri Ele Geçirmek için Public Docker Engine API'lerini Hedefliyor - Dünyadan Güncel Teknoloji Haberleri
) sunucu

ASEC, “Ddostf tarafından desteklenen komutların çoğu tipik DDoS botlarının komutlarına benzese de, Ddostf’un ayırt edici özelliği, C&C sunucusundan yeni alınan bir adrese bağlanabilme ve orada belirli bir süre boyunca komutları yürütebilme yeteneğidir

Şirket, “Kötü amaçlı yazılım bir cihaza başarılı bir şekilde sızmadan önce saldırganlar, hedeflerindeki potansiyel güvenlik açıklarını belirlemek için HTTP isteklerini kullanarak bir tarama süreci başlattı” dedi

Cado araştırmacıları Nate Bill ve Matt Muir, “Saldırganlar, ‘oracleiv_latest’ adlı bir görüntüden oluşturulan ve ELF yürütülebilir dosyası olarak derlenmiş Python kötü amaçlı yazılımını içeren kötü amaçlı bir Docker kapsayıcısı sunmak için bu yanlış yapılandırmadan yararlanıyor “Tehdit, tespit edilmekten kurtulmak için sürecini mevcut kullanıcı oturumundan bağımsız olarak çalışan bir arka plan hizmetine dönüştürüyor “Kötü amaçlı kapsayıcıyı Docker’ın kapsayıcı görüntü kitaplığı olan Docker Hub’da barındırmak, bu süreci daha da kolaylaştırıyor Bu, Ddostf tehdit aktörünün çok sayıda sisteme bulaşabileceği ve ardından DDoS saldırılarını bir hizmet olarak satabileceği anlamına geliyor

Açığa çıkan Docker örnekleri, son yıllarda genellikle kripto korsanlık kampanyaları için kanal olarak kullanılan kazançlı bir saldırı hedefi haline geldi MirayKaynak kodu 2016’da sızdırılan

Palo Alto Networks Birim 42, kampanyanın Temmuz 2023 sonlarında başladığını ve 12 Ağustos 2023 civarında zirveye ulaştığını söyledi ” söz konusu


14 Kasım 2023Haber odasıBulut Güvenliği / Kötü Amaçlı Yazılım

Herkese açık Docker Engine API örnekleri, makineleri dağıtılmış hizmet reddi (DDoS) botnet’ine dahil etmek için tasarlanan bir kampanyanın parçası olarak tehdit aktörleri tarafından hedefleniyor kayıt edilmiş OracleIV

Kötü amaçlı etkinlik, saldırganların Docker Hub’dan kötü amaçlı bir görüntü almak için Docker’ın API’sine bir HTTP POST isteği kullanmasıyla başlar; bu da, bir komut ve kontrol (C&C) sisteminden bir kabuk komut dosyasını (Oracle

Bu yıl yeniden ortaya çıkan bir diğer DDoS kötü amaçlı yazılımı, Linux cihazlarına bulaşan ve ilgilenilen hedeflere yönelik DDoS saldırıları için onları “zombilere dönüştüren” XorDdos’tur ”

HailBot, kiraiBot ve catDDoS gibi birçok yeni DDoS botnet’inin ortaya çıkması da meseleyi daha da karmaşık hale getiriyor

Oracleiv_latest liman işçisi için bir MySQL görüntüsü olduğu iddia ediliyor ve bugüne kadar 3 ” açıklığa kavuşmuş geçen ay

“Yeni C&C sunucusunda yalnızca DDoS komutları gerçekleştirilebiliyor Belki de pek de şaşırtıcı olmayan bir değişiklikle, görüntü aynı sunucudan bir XMRig madencisini ve yapılandırmasını almak için ek talimatlar da içeriyor sh) almak için bir komut çalıştırır

Bununla birlikte bulut güvenlik firması, sahte konteyner tarafından gerçekleştirilen kripto para birimi madenciliğine dair herhangi bir kanıt gözlemlemediğini söyledi 500 kez çekildi ”



siber-2

” söz konusu Öte yandan kabuk betiği kısa ve özdür ve DDoS saldırılarını gerçekleştirmek için aşağıdaki gibi işlevler içerir: Yavaş loris, SYN taşkınlarıVe UDP taşkınları

Araştırmacılar, “Geçerli bir uç nokta keşfedildiğinde, akla gelebilecek herhangi bir hedefi gerçekleştirmek için kötü amaçlı bir görüntü alıp ondan bir kapsayıcı başlatmak önemsizdir” dedi

Siber güvenlik şirketi NSFOCUS, “Bu yeni geliştirilen Truva atları ya kritik bilgileri gizlemek için yeni şifreleme algoritmaları sunuyor ya da canlıya geçiş sürecini değiştirerek ve daha gizli iletişim yöntemleri tasarlayarak kendilerini daha iyi gizliyor ”

AhnLab Güvenlik Acil Durum Müdahale Merkezi’ne (ASEC) göre, bu durum yalnızca Docker’la sınırlı değil; savunmasız MySQL sunucuları, Ddostf olarak bilinen başka bir DDoS botnet kötü amaçlı yazılımının hedefi olarak ortaya çıktı