Címke: Számítógépes biztonság

Kriptovaluta bányászat és 9Hits: új kiberfenyegetés a docker rendszerek ellen

Egy új kampány célba veszi a sérülékeny Docker rendszereket, ahol a támadók XMRig kriptovaluta bányász programot és a 9Hits Viewer alkalmazást telepítik, mint egy összetett monetizációs stratégia elemeit.

„A 9Hits alkalmazás kártékony szoftverként történő telepítése először dokumentálódott így,” jelentette ki a Cado, egy felhőbiztonsággal foglalkozó vállalat, kiegészítve, hogy ez a tendencia azt mutatja, az ellenséges szereplők szüntelenül keresik az új módszereket a sérült hosztokból történő pénzszerzésre.

A 9Hits saját magát mint „innovatív webforgalom-megoldást” és „automatizált forgalomcsere-szolgáltatást” mutatja be, ami lehetőséget biztosít a felhasználóknak weboldalaik látogatottságának növelésére kreditvásárlás révén.
Ezt a 9Hits Viewer nevű szoftverrel valósítják meg, amely egy fej nélküli Chrome böngészővel látogatja meg azokat a weboldalakat, amiket a többi felhasználó kér, cserébe krediteket szerezve weboldaluk forgalmának növeléséhez.

A sérülékeny Docker hosztokra elterjedő rosszindulatú szoftver terjesztésének pontos módja egyelőre homályos, azonban valószínűsítik, hogy a Shodanhoz hasonló keresőmotorokat használnak potenciális célpontok felkutatására.

Ezután a támadók behatolnak a szerverekre, hogy két kártékony konténert helyezzenek el a Docker API segítségével, valamint előre elkészített képeket töltessenek le a Docker Hub könyvtárából a 9Hits és az XMRig szoftverek számára.

„Ez egy bevett támadási módszer a Dockerhez kapcsolódó kampányok esetén, amikor nem egyedileg készített képet, hanem általánosan elérhetőt tölt le a Dockerhub-ról, amit aztán a saját céljaikra használnak,” magyarázta Nate Bill, egy biztonsági szakértő.

A 9Hits konténert ezután felhasználják a támadó kreditjeinek generálására: a 9Hits rendszerével történő azonosítás során a munkamenet-tokenjüket használják fel, és kinyerik a meglátogatandó weboldalak listáját.

A támadók úgy állították be a rendszert, hogy felnőtt tartalmú vagy felugró ablakokat tartalmazó oldalakat keressenek fel, azonban tiltották a kriptovalutákkal kapcsolatos weboldalak látogatását.
A másik konténerben egy XMRig bányászprogramot futtatnak, amely egy privát bányászcsoporttal kapcsolódik, így a kampány mérete és nyereségessége meghatározhatatlan marad.

„A támadás elsősorban a megtámadott hosztok erőforrásainak kimerülésével jár, mivel az XMRig bányászprogram minden rendelkezésre álló CPU-kapacitást felhasznál, míg a 9hits jelentős sávszélességet, memóriát és a maradék CPU-kapacitást is igénybe veszi,” mondta Bill.

„Ennek következtében a fertőzött szervereken futó hiteles munkafolyamatok nem tudnak megfelelően működni. Továbbá a kampány frissíthető, hogy távoli shellt hagyjon a rendszeren, ami súlyosabb behatoláshoz vezethet.”

Forrás:https://thehackernews.com

A Mustang Panda Kibertámadásai: Feszültségek a Fülöp-szigeteki Kormány és Dél-Kína Között

A Mustang Panda Hackerek: Feszültségek a Fülöp-szigeteki Kormány és a Dél-kínai-tenger Között A Mustang Panda, Kínával kapcsolatba hozható hackercsoport, a Fülöp-szigeteki kormányzati intézményeket támadta meg, kihasználva a Dél-kínai-tengeren zajló területi vitákat. A Palo Alto Networks Unit 42 szerint a csoport 2023 augusztusában három kampányt indított, amelyek elsődlegesen a Dél-Csendes-óceáni régió szervezeteire irányultak.

Ezek a támadások olyan hitelesnek tűnő szoftvereket használtak, mint a Solid PDF Creator és a SmadavProtect (egy indonéz antivírus megoldás), hogy rosszindulatú fájlokat töltsenek fel a célpontok rendszereibe. A csoport rafináltan manipulálta ezeket a szoftvereket, hogy Microsoft forgalmat imitáljanak, ezzel biztosítva a parancs-és-vezérlés (C2) kapcsolatokat.

A Mustang Pandát több néven is ismerik, köztük Bronz Előlnök, Camaro Sárkány, Föld Preta, RedDelta és Állami Taurus néven, és mint egy kínai fejlett állandó fenyegetést (APT) jelentő csoportot azonosítják, amely 2012 óta aktív kiberspionázs kampányokat folytat a világ számos pontján.

2023 szeptemberében a Unit 42 a csoportot egy délkelet-ázsiai kormány elleni támadásokkal is összefüggésbe hozta, amelyek a TONESHELL hátsó ajtó egy változatának terjesztésével kapcsolatosak voltak.

A csoport legutóbbi támadásai dárda-phishing e-mailekkel kezdődtek, amelyek rosszindulatú ZIP archívumokat szállítottak, tartalmazva egy rosszindulatú dinamikus kapcsolódó könyvtárat (DLL). A támadás célja egy távoli szerverrel való kapcsolatfelvétel volt, amelynek során kompromittálták a Fülöp-szigeteki kormányzati entitásokat egy ötnapos időszak alatt, 2023. augusztus 10. és 15. között.

A Mustang Panda hírhedt a SmadavProtect program használatáról, amelyet a biztonsági megoldások kijátszására fejlesztettek ki. „Állami Taurus továbbra is bizonyítja a hatékony és tartós kiberspionázs műveletek végrehajtásában való jártasságát, mint az egyik legaktívabb kínai APT,” jegyezték meg a kutatók.

Az esetek globális célpontjai összhangban állnak a kínai kormány geopolitikai érdeklődési körével. A felfedezés egyidejűleg történt egy dél-koreai APT csoport, a Higaisa aktivitásának feltárásával, amely kínai felhasználókat célozott meg, OpenVPN-hez hasonló adathalász weboldalakon keresztül.

„Ezek a támadások Rust alapú kártékony szoftvereket telepítettek és futtattak a rendszereken, aktiválva egy shellcode-ot,” tájékoztatott a Cyble. „A shellcode anti-debugging és dekódoló műveleteket hajt végre, majd titkosított parancs-és-vezérlés (C&C) kommunikációt hoz létre a távoli fenyegető szereplővel.”