یکی از رباتهای معروف استخراج ارز دیجیتال به نام LemonDuck، شروع به هدف قرار دادن سیستم عامل لینوکس برای استخراج ارز دیجیتال برای حملات سایبری کرده است.
طبق گفته CloudStrike، این Docker API است[۱] اتصال اینترنت را هدف قرار می دهد و ذخیره سازی مخرب را در سیستم های لینوکس اجرا می کند.
Docker برای ایجاد، اجرا و مدیریت عملیات کانتینر استفاده می شود. از آنجایی که Docker عمدتا بر روی یک پلت فرم ابری اجرا می شود، یک نمونه پیکربندی نادرست می تواند Docker API را از طریق اینترنت در دسترس قرار دهد. مهاجمان نیز از موقعیت های مشابه استفاده کرده و نرم افزارهای مخربی را برای رمزگذاری ارز در صندوق راه اندازی کردند.
تانک های داکر یک هدف نرم برای مهاجمان هستند
مایک پارکین، مهندس Vulcan Cyber، یک شرکت خدمات نرمافزاری که با خطرات سایبری شرکتها سروکار دارد، میگوید: «یکی از روشهای اصلی مورد استفاده مهاجمان، نفوذ به محیطهای کانتینر از طریق پیکربندیهای اشتباه است. از سوی دیگر، بسیاری از سازمان ها اصول توصیه شده را رعایت نمی کنند و در برابر هک آسیب پذیر هستند.
به گفته مایک پارکین: «ابزارهایی وجود دارند که می توانند از این محیط ها در برابر استفاده غیرمجاز محافظت کنند. ابزارهای نظارت بر فعالیت نیز می توانند فعالیت غیرعادی را تشخیص دهند. ابزارهای مدیریت کلیدی همچنین باید هماهنگی بین تیم های توسعه و تیم های امنیتی را تضمین کنند.
Ratan Tipirneni، رئیس و مدیر عامل Tigera، شرکتی که راهحلهای امنیتی برای تانکها، سایبرنتیک و ابرها ارائه میکند، گفت: «در حالی که داکر قابلیتهای زیادی برای انعطافپذیری، اتوماسیون و برنامهنویسی دارد، اما پیامدهای ناخواستهای در افزایش سطح حمله نیز دارد. .
وی گفت: این موضوع به ویژه با توسعه استفاده از فناوری تانک در بازار بیشتر به چشم می خورد. از آنجایی که Docker به هکرها قدرت زیادی برای رمزگشایی ارزهای ارزی می دهد، این وضعیت منجر به هدف جذابی برای نفوذ مهاجمان می شود.
LemonDuck چگونه کار می کند؟
پس از راه اندازی ذخیره سازی مخرب خود در API هک شده، LemonDuck یک فایل تصویری به نام core.png را دانلود کرد که در اسکریپت Bash پنهان است. core.png به عنوان نقطه شروع برای راه اندازی cronjob لینوکس عمل می کند، که می تواند برای برنامه ریزی اجرای خودکار اسکریپت ها یا دستورات دیگر استفاده شود.
سپس از Cronjob برای دانلود یک فایل تبدیل شده به نام a.asp استفاده می شود که در اصل یک فایل bash است. اگر سیستمی از سرویس نظارت ابری علیبابا استفاده میکند که نمونههای ابر مخرب را شناسایی میکند، اگر سرور ابری روی یک میزبان یا فضای ذخیرهسازی نصب شده باشد، a.asp میتواند آن را غیرفعال کند تا از شناسایی جلوگیری کند.
a.asp همچنین فایل XMRig را به صورت یک فایل xr که قابلیت بازیابی رمز ارز را دارد، دانلود و اجرا می کند. XMRig یک تکنیک تقلبی است زیرا از یک استخر پروکسی برای رمزگشایی ارز استفاده می کند. به گفته آهوجا، “استخرهای پروکسی به پنهان کردن آدرس پرتفوی های اصلی که درآمد در آنها واریز می شود کمک می کند.”
Ahuje می گوید: «تکنیک حمله LemonDuck نیز یک تکنیک پنهان است. در این روش به جای اسکن آدرس های IP عمومی به تعداد زیاد برای شناسایی آسیب پذیری ها، کلیدهای SSH برای ترافیک متقاطع جستجو می شوند. بنابراین این حمله به اندازه سایر روشهای مشابه آشکار نیست.» پس از یافتن کلیدهای SSH، مهاجم از آنها برای ورود به سرور و اجرای کدهای مخرب استفاده می کند.
رشد و توسعه حملات ابری
Ian Al، معاون مهندسی و شناسایی تهدیدات سایبری در Permiso گفت: «اگرچه این تکنیک رایج نیست، غیرفعال کردن خدمات نظارت بر ابر، مانند مکانیسم محافظت از بدافزار Alibaba، نشان دهنده درک بالای مهاجمان از مهاجمان ابری است.
وی گفت: با رشد و توسعه محیط های ابری، حملات علیه آنها نیز در حال توسعه است. رویکرد LemonDuck بسیار خاص است زیرا در صورت شناسایی بدافزار رقیب را غیرفعال می کند. علاوه بر نشان دادن درک مهاجمان از محیط های ابری، این ابزار رمزگشایی ارز نسبتاً رایج است.
آهوجا گفت: «ظهور ارزهای دیجیتال و استفاده روزافزون از فضای ذخیرهسازی و فضای ابری در سازمانها، این حوزه را به ویژه برای مهاجمان جذاب کرده است. از آنجایی که اکوسیستم های ذخیره سازی و فناوری های ابری از لینوکس استفاده می کنند، این زمینه توجه گیاه شناسانی مانند LemonDuck را به خود جلب کرده است.
او گفت: “در CrowdStrike، ما انتظار داریم که چنین کمپین هایی توسط بات نت ها با رشد و توسعه فناوری های ابری رشد کنند.”
[۱] مخزن Docker شامل تمام الزامات برای راه اندازی یک برنامه است. این ابزار به شما اجازه می دهد تا به راحتی نرم افزار را از یک محیط به محیط دیگر منتقل کنید.
اخبار امنیت اطلاعات را در فراست دنبال کنید.
منبع: csoonline