క్రిప్టోక్రిమినల్స్ డాకర్ రిమోట్ API సర్వర్‌లను లక్ష్యంగా చేసుకోవడంతో Perfctl మాల్వేర్ మళ్లీ దాడి చేస్తుంది

Trend Micro పరిశోధకుల ప్రకారం, ఒక తెలియని దాడి చేసే వ్యక్తి బాధితుల సిస్టమ్‌లపై perfctl క్రిప్టోమైనింగ్ మాల్వేర్‌ని అమలు చేయడానికి బహిర్గతమైన డాకర్ రిమోట్ API సర్వర్‌లను దుర్వినియోగం చేస్తున్నాడు.

ట్రెండ్ మైక్రో సీనియర్ బెదిరింపు పరిశోధకుడు సునీల్ భారతి అన్నారు ది రికార్డ్ నేరస్థులు perfctlని మోహరించిన తర్వాత అతని బృందం యొక్క హనీపాట్‌లు ఈ రెండు ప్రయత్నాలను స్వాధీనం చేసుకున్నాయి. ఇదే మాల్వేర్, ఈ నెల ప్రారంభంలో, ఆక్వా భద్రతా పరిశోధకులు మిలియన్ల మంది వ్యక్తులను లక్ష్యంగా చేసుకున్నారని హెచ్చరించారు, బాధితుల సంఖ్య వేలల్లో ఉంది మరియు ప్రకటించారు “ఏదైనా Linux సర్వర్ ప్రమాదంలో ఉండవచ్చు” అని.

కాబట్టి, ఇప్పుడు ట్రెండ్‌గా డాకర్ రిమోట్ API సర్వర్‌లను బలోపేతం చేయడం మంచిది హెచ్చరిస్తారు ఈ అసురక్షిత సర్వర్‌ల దోపిడీ “సంస్థ మరియు దాని భద్రతా నిపుణుల శ్రద్ధ తీవ్రంగా అవసరమయ్యే క్లిష్ట స్థాయికి చేరుకుంది”.

ఈ సంవత్సరం ప్రారంభంలో, సెక్యూరిటీ స్టోర్ గుర్తించారు బహిర్గతమైన డాకర్ రిమోట్ API సర్వర్‌లను దుర్వినియోగం చేసిన ఇదే విధమైన క్రిప్టోజాకింగ్ దాడి ప్రచారం మరియు 2024 ప్రారంభం నుండి క్రియాశీలంగా ఉంది.

ఇటీవలి దాడిలో, దాడి చేసేవారు ఈ ఇంటర్నెట్-కనెక్ట్ చేయబడిన సర్వర్‌ల ద్వారా ప్రారంభ ప్రాప్యతను కూడా పొందారు మరియు ubuntu:mantic-20240405 బేస్ ఇమేజ్ నుండి కంటైనర్‌ను సృష్టించారు. ఇది ప్రివిలేజ్డ్ మోడ్‌లో పనిచేయడానికి నిర్దిష్ట సెట్టింగ్‌లను ఉపయోగిస్తుంది మరియు pid mode: host హోస్ట్ సిస్టమ్ యొక్క ప్రాసెస్ ID (PID) నేమ్‌స్పేస్‌ను కంటైనర్ షేర్ చేస్తుందని నిర్ధారించుకోవడానికి.

“దీని అర్థం కంటైనర్ లోపల నడుస్తున్న ప్రక్రియలు హోస్ట్‌లోని ప్రక్రియల వలె అదే PID నేమ్‌స్పేస్‌ను పంచుకుంటాయి” అని పరిశోధకులు సునీల్ భారతి మరియు రంగ దురైసామి రాశారు.

“ఫలితంగా, కంటైనర్ ప్రాసెస్‌లు హోస్ట్ సిస్టమ్‌లో నడుస్తున్న అన్ని ప్రాసెస్‌ల మాదిరిగానే అన్ని రన్నింగ్ ప్రాసెస్‌లను నేరుగా హోస్ట్‌లో రన్ చేస్తున్నట్లుగా చూడగలవు మరియు వాటితో పరస్పర చర్య చేయగలవు.”

చెడ్డ నటులు డాకర్ Exec APIని ఉపయోగించి రెండు-భాగాల పేలోడ్‌ని అమలు చేస్తారు. మొదటి భాగం ఉపయోగిస్తుంది nsenter ఆదేశం కంటైనర్ నుండి తప్పించుకోవడానికి. ఈ కమాండ్ రూట్‌గా నడుస్తుంది మరియు టార్గెట్ మౌంట్, UTS, IPC, నెట్‌వర్క్ మరియు PID వంటి వివిధ నేమ్‌స్పేస్‌లలో ప్రోగ్రామ్‌లను అమలు చేయడానికి దాడి చేసేవారిని అనుమతిస్తుంది మరియు ఇది అతనికి “హోస్ట్ సిస్టమ్‌లో రన్ అవుతున్నట్లుగా సారూప్య సామర్థ్యాలను” ఇస్తుంది.

పేలోడ్ యొక్క రెండవ భాగం Base64-ఎన్‌కోడ్ చేసిన షెల్ స్క్రిప్ట్‌ని కలిగి ఉంది, ఇది నకిలీ ప్రక్రియలను తనిఖీ చేస్తుంది మరియు నిరోధించడం మరియు బాష్ స్క్రిప్ట్‌ను సృష్టిస్తుంది. ఇన్‌స్టాల్ చేసిన తర్వాత, ఇది కస్టమ్‌ను సృష్టిస్తుంది __curl ఎప్పుడు ఉపయోగించగల ఫంక్షన్ curl లేదా wget సిస్టమ్‌లో లేదు, ఆర్కిటెక్చర్ x86-64 కాకపోతే స్వయంచాలకంగా మూసివేయబడుతుంది, హానికరమైన ప్రక్రియ ఉనికిని తనిఖీ చేస్తుంది మరియు నిర్ధారిస్తుంది మరియు పోర్ట్‌లు 44870 లేదా 63582ని ఉపయోగించి క్రియాశీల TCP కనెక్షన్‌ల కోసం వెతుకుతుంది. మాల్వేర్ రన్ కావడం లేదని అది నిర్ధారిస్తే, ఇది గుర్తించబడకుండా ఉండటానికి PHP పొడిగింపుగా మారువేషంలో ఉన్న హానికరమైన బైనరీని డౌన్‌లోడ్ చేస్తుంది.

మాల్వేర్ నిలకడను సాధించడానికి ఫాల్‌బ్యాక్ ఫంక్షన్‌ను కూడా ఉపయోగిస్తుంది, ఆపై ప్రాసెస్‌ను చంపడానికి ఒక ఆదేశాన్ని కలిగి ఉన్న ఒక చివరి Base64 పేలోడ్‌ను అమలు చేస్తుంది, గుర్తింపును దాటవేయడానికి అదనపు చర్యలు తీసుకుంటుంది మరియు రాజీపడిన మెషీన్‌లకు దాడి చేసేవారికి దీర్ఘకాలిక యాక్సెస్‌ను అందిస్తుంది .

తదుపరి perfctl బాధితురాలిగా మారకుండా ఉండటానికి, ట్రెండ్ బృందం బలమైన ప్రమాణీకరణ మరియు యాక్సెస్ నియంత్రణలను అమలు చేయాలని మరియు ఏదైనా అసాధారణ ప్రవర్తన కోసం డాకర్ రిమోట్ API సర్వర్‌లను పర్యవేక్షించాలని సిఫార్సు చేస్తోంది.

మీరు క్రమం తప్పకుండా ప్యాచ్ చేయాలి, రెగ్యులర్ సెక్యూరిటీ ఆడిట్‌లు చేయాలి మరియు అనుసరించాలి అని చెప్పనవసరం లేదు కంటైనర్ సెక్యూరిటీ బెస్ట్ ప్రాక్టీసెస్ – వీలైతే “ప్రివిలేజ్డ్” మోడ్‌ని ఉపయోగించకపోవడం మరియు విస్తరణకు ముందు ఇమేజ్‌లు మరియు కంటైనర్ కాన్ఫిగరేషన్‌లను సమీక్షించడం వంటివి. ®