+36304177429 info@datad.hu

Docker szolgáltatások új kiberfenyegetése: XMRig és 9Hits kampány

Sebezhető Docker szolgáltatásokat céloznak meg egy új kampányban, ahol a fenyegető szereplők XMRig kriptovaluta bányász szoftvert és a 9Hits Viewer alkalmazást telepítik, mint egy többágú pénzszerzési stratégia részét.

„Ez az első dokumentált eset, amikor a 9Hits alkalmazást telepítik kártékony szoftverként,” mondta a Cado felhőbiztonsági cég, hozzátéve, hogy ez a fejlesztés azt jelzi, hogy az ellenfelek folyamatosan új stratégiákat keresnek a kompromittált gazdagépekkel való pénzszerzésre.

A 9Hits magát egy „egyedi webes forgalom-megoldásként” és „automatikus forgalomcserélőként” hirdeti, amely lehetővé teszi a szolgáltatás tagjainak, hogy forgalmat irányítsanak az oldalaikra kreditek vásárlásával. Ezt egy 9Hits Viewer nevű szoftverrel érik el, amely egy fej nélküli Chrome böngésző példányt futtat a többi tag által kért weboldalak meglátogatásához, amivel krediteket szereznek az oldalaikra irányuló forgalom generálásához.

A sebezhető Docker gazdagépekre terjedő kártékony szoftver pontos terjedési módja jelenleg nem világos, de feltételezik, hogy keresőmotorok, mint például a Shodan használatát foglalja magába potenciális célpontok keresésére. A szervereket ezután megtámadják, hogy két rosszindulatú konténert telepítsenek a Docker API-n keresztül, és lehívjanak kész képeket a Docker Hub könyvtárból a 9Hits és XMRig szoftverekhez.

„Ez egy gyakori támadási vektor a Docker célpontokra irányuló kampányokban, ahol az egyedi célra szánt kép helyett általános képet húznak le a Dockerhub-ról (ami majdnem mindig elérhető) és felhasználják a saját céljaikra,” mondta Nate Bill biztonsági kutató.

A 9Hits konténert aztán arra használják, hogy kódot hajtsanak végre a támadó számára kreditek generálásához, a 9Hits-szel való azonosítással a munkamenet-tokenjük használatával és a meglátogatandó oldalak listájának kinyerésével.

A fenyegető szereplők a rendszert úgy konfigurálták, hogy felnőtteknek szóló oldalakat vagy popupokat megjelenítő oldalakat látogassanak, de megakadályozzák a kriptovalutákkal kapcsolatos oldalak látogatását. A másik konténert XMRig bányász szoftver futtatására használják, amely egy privát bányászmedencéhez csatlakozik, ezáltal lehetetlenné téve a kampány méretének és jövedelmezőségének megállapítását.

„A kampány kompromittált gazdagépekre gyakorolt fő hatása az erőforrások kimerülése, mivel az XMRig bányász szoftver minden elérhető CPU erőforrást felhasznál, míg a 9hits nagy mennyiségű sávszélességet, memóriát és a maradék kis CPU-t használja fel,” mondta Bill.

„Ennek eredményeként a fertőzött szervereken futó legitim munkafolyamatok nem tudnak a várt módon teljesíteni. Ezen kívül a kampány frissíthető úgy, hogy távoli shellt hagyjon a rendszeren, ami potenciálisan komolyabb behatolást okozhat.”

Forrás: https://thehackernews.com

A Web3 protokollokat utánzó Inferno Drainer csapat: adathalászati siker és jelentős kockázatok

Az Inferno Drainer nevű, immár megszűnt csalói csoport egy év alatt, 2022 és 2023 között több mint 16 000 egyedi kártékony domain nevet hozott létre. A szingapúri székhelyű Group-IB szerint a szervezet „magas minőségű adathalász oldalak segítségével csábította gyanútlan felhasználókat arra, hogy kriptopénz tárcájukat az elkövetők által létrehozott infrastruktúrához kapcsolják, ami Web3 protokollokat utánzott annak érdekében, hogy az áldozatokat megtévessze és tranzakciók jóváhagyására bírja” – áll a The Hacker News-szal megosztott jelentésükben.

Az Inferno Drainer 2022 novemberétől 2023 novemberéig volt aktív, és több mint 87 millió dolláros törvénytelen nyereséget könyvelt el, több mint 137 000 áldozat becsapásával. A malware része volt egy szélesebb körű, hasonló szolgáltatásoknak, amelyeket a csalók az „átverés-mint-szolgáltatás” (vagy „drainer-mint-szolgáltatás”) modell keretében értékesítettek, a nyereségük 20%-ának cserébe.

Ráadásul az Inferno Drainer ügyfelei választhatnak, hogy feltöltsék a malware-t a saját adathalász oldalaikra, vagy használják a fejlesztő szolgáltatását az adathalász weboldalak létrehozására és tárolására, néhány esetben ingyen, vagy a lopott eszközök 30%-ának díjazásával.

A Group-IB szerint a tevékenység több mint 100 kriptopénz márkát utánzott, különlegesen kialakított oldalakon, amelyeket több mint 16 000 egyedi domainen tároltak. Az ilyen domainek közül 500 elemzése során kiderült, hogy a JavaScript-alapú drainer kezdetben egy GitHub tárházban volt tárolva (kuzdaz.github[.]io/seaport/seaport.js), mielőtt közvetlenül az oldalakra illesztették volna. A „kuzdaz” felhasználó jelenleg nem létezik.

Hasonló módon, további 350 oldal tartalmazott egy „coinbase-wallet-sdk.js” nevű JavaScript fájlt, egy másik GitHub tárházban, a „kasrlorcian.github[.]io”-n. Ezeket az oldalakat olyan helyeken terjesztették, mint a Discord és az X (korábban Twitter), ahol potenciális áldozatokat csábítottak rá, hogy kattintsanak rájuk, azzal a csellel, hogy ingyenes tokeneket (úgynevezett airdropokat) kínáltak, és arra bírták őket, hogy csatlakoztassák a tárcáikat, amikor a tranzakciók jóváhagyása után az eszközeiket elcsatornázták.

A seaport.js, coinbase.js és wallet-connect.js nevű fájlok használatával a cél az volt, hogy népszerű Web3 protokollok, mint a Seaport, a WalletConnect és a Coinbase álruhájába bújjanak, hogy végrehajtsák az engedély nélküli tranzakciókat. Az első ilyen scriptet tartalmazó weboldal 2023. május 15-én jelent meg.

„Az Inferno Drainerhez tartozó adathalász oldalak egy másik jellemzője az volt, hogy a felhasználók nem nyithatták meg a weboldal forráskódját a gyorsbillentyűk vagy az egér jobb gombjának használatával” – mondta Viacheslav Shevchenko, a Group-IB elemzője. „Ez azt jelenti, hogy a bűnözők megpróbálták elrejteni a scriptjeiket és illegális tevékenységüket az áldozataik elől.”

Megjegyzendő, hogy a Google tulajdonában lévő Mandiant X fiókja ebben a hónapban kompromittálódott, és linkeket osztott meg egy adathalász oldalhoz, amely egy CLINKSINK nevű kriptopénz-drainert tárol.

„Bár az Inferno Drainer tevékenysége megszűnt, jelentősége 2023 folyamán kiemeli a kriptopénz tulajdonosok számára jelentkező súlyos kockázatokat, mivel a drainerek tovább fejlődnek” – mondta Andrey Kolmakov, a Group-IB High-Tech Crime Investigation Department vezetője.

Forrás: https://thehackernews.com

Albán szervezeteket célzó kibertámadások és a No-Justice törlőprogram

Az albán szervezeteket célzó legutóbbi kibertámadásokban a „No-Justice” nevű törlőprogramot alkalmazták.

A ClearSky kiberbiztonsági vállalat szerint ez a Windows-alapú kártevő úgy okoz összeomlást az operációs rendszerben, hogy annak újraindítása lehetetlenné válik.

Ezeket a betöréseket egy iráni „pszichológiai hadműveleti csoport”, a Homeland Justice végrehajtásának tulajdonítják, mely 2022 júliusa óta aktív, kifejezetten pusztító támadásokat hajt végre Albánia ellen.

2023. december 24-én az ellenfél egy szünet után újra megjelent, kijelentve, hogy „visszatérnek a terroristák támogatóinak megsemmisítésére”, legutóbbi hadjáratukat #DestroyDurresMilitaryCamp-ként aposztrofálva. Az albán Durrës város jelenleg az Iráni Népi Mudzsahedin Szervezetnek, azaz a MEK-nek ad otthont.

A támadás célpontjai közé tartozik az ONE Albánia, az Eagle Mobile Albánia, az Air Albánia és az albán parlament.

A kampány során két fő eszközt vetettek be: egy futtatható törlőprogramot és egy PowerShell szkriptet, amelynek célja, hogy az előbb említett programot terjessze tovább a célpont hálózatának többi gépére, a Windows Távoli Kezelést, azaz a WinRM-et engedélyezve. A No-Justice törlőprogram, a NACL.exe egy 220,34 KB-os bináris állomány, mely rendszergazdai jogosultságot igényel a számítógépen lévő adatok törléséhez.

Ezt úgy érik el, hogy eltávolítják a boot aláírást a Mesterindító Rekordból, az MBR-ből, ami az első szektort jelenti minden merevlemezen, amely azonosítja, hol helyezkedik el az operációs rendszer a lemezen, így betölthető a számítógép RAM-jába.

A támadás során további, legitim eszközöket is használtak, mint például a Plinket, más néven a PuTTY Linket, a RevSockset és a Windows 2000 erőforráskészletet a felderítés, az oldalirányú mozgás és a tartós távoli hozzáférés elősegítésére. Ez a fejlemény összefügg az iráni fenyegető szereplők, mint például a Cyber Av3ngers, a Cyber Toufan, a Haghjoyan és a YareGomnam Team egyre növekvő figyelmével Izrael és az Egyesült Államok felé a Közel-Keleten folytatódó geopolitikai feszültségek közepette.

„Olyan csoportok, mint a Cyber Av3ngers és a Cyber Toufan úgy tűnik, hogy visszavágó narratívát alkalmaznak kibertámadásaikban,” tájékoztatott a Check Point a múlt hónapban.

„Az Egyesült Államokban tevékenykedő entitásokat célzó támadásokkal, izraeli technológiát kihasználva, ezek a hacktivista csoportok egy kettős visszavágási stratégiát próbálnak megvalósítani – állítólag egyszerre Izraelt és az Egyesült Államokat megcélzó, összehangolt kibertámadással.”
A Cyber Toufan különösen több mint 100 szervezetet célzó hackelési és adatszivárogtatási műveletekhez kapcsolódik, fertőzött gazdagépeket törölve és az ellopott adatokat a Telegram csatornájukon közzétéve.

„Annyi kárt okoztak, hogy a szervezetek majdnem egyharmada – valójában – nem tudott helyreállni,” mondta Kevin Beaumont biztonsági kutató. „Néhányuk még több mint egy hónappal később is teljesen offline, és az eltörölt áldozatok magánvállalatok és izraeli állami kormányzati entitások keverékét jelentik.”

A múlt hónapban az Izraeli Nemzeti Kiber Direktorátus, az INCD kijelentette, hogy jelenleg körülbelül 15, Iránnal, a Hamásszal és a Hezbollahhal kapcsolatban álló hackercsoportot követ nyomon, amelyek rosszindulatúan működnek az izraeli kibertérben az izraeli-hamási háború kezdete óta 2023 októberében.

Az ügynökség továbbá megjegyezte, hogy az alkalmazott technikák és taktikák hasonlóságot mutatnak azokkal, amelyeket az Ukrajna-Oroszország háborúban használtak, pszichológiai hadviselést és törlő kártevőket alkalmazva az érzékeny információk megsemmisítésére.

Forrás: https://thehackernews.com