اكتشفت أخصائيو الأمن السيبراني عملية ضارة تضم عمليات برمجية خبيثة معقدة تشمل استهداف نقاط نهاية واجهة برمجة التطبيقات على Docker التي تعرضت. تهدف هذه الحملة الخبيثة بشكل أساسي إلى توزيع برامج تعدين العملات المشفرة، إلى جانب شحنات خبيثة أخرى.
الأدوات الهامة المستخدمة في هذه العملية تشمل أداة للوصول عن بُعد قادرة على تحميل برامج ضارة إضافية، فضلاً عن أداة لنشر الشيفرة الخبيثة عبر SSH كما كشف عنه تقرير حديث من شركة تحليلات السحابة Datadog.
لاحظ الباحثون وجود تشابهات بين هذه العملية وحملة سابقة معروفة باسم Spinning YARN، التي استغلت بالمثل خدمات مهيأة بشكل غير صحيح مثل Apache Hadoop YARN، Docker، Atlassian Confluence و Redis للتعدين السري.
يبدأ الهجوم من قبل المهاجمين من خلال تحديد خوادم Docker غير المؤمنة، باستخدام منافذ مفتوحة محددة لبدء هجوم متعدد المراحل يتضمن التجسس ورفع الامتيازات واستغلالها.
يستخدم هؤلاء الخصوم نصًا برمجيًّا يحمل اسم “vurl” لاستيلاء على الشحنات من بنية تحت تحكم، حيث يستحوذ النص “vurl” على تنفيذٍ Base64 مضمّن ونص برمجي سادس لدوافع شرّيرة أخرى. نمّق الخبير الأمني مات مور أن النص قام بتغافل السيطرة عبر الأوامر المدمجة في استخدام النطاقات الناطقة بالأوامر.
الثنائي “chkstart” المبني على Golang، الذي يتسم بالتسمية المناسبة، يبدو أنه يبسّط قدرات البرمجيات الخبيثة على تكوين الوصول عن بُعد وتحميل أدوات إضافية، تشمل أرشيفًا بإسم “m.tar” وأمر “top”، يخبئ منقب XMRig ضمنه.
تعزز وحدات البرمجيات الضارة الإضافية مثل “exeremo” التنقل الجانبي عبر الشبكات وتساعد في انتشار العدوى، بينما الثنائي الآخر “fkoths” المبني على Go مصمم لطرد أثر التسلل وتعطيل التحليل.
تقدم المرحلة الأخيرة أيضًا نصًا برمجيًا، “s.sh”، لإعداد أدوات فحص قادرة على تحديد الأنظمة المعرضة للمخاطر.
بشكل عام، تظهر تطور هذه الحملة استغلالًا متواصلًا لمُستضعفي خوادم Docker للهجمات السيبرانية وتكييف الشحنات الضارة لعرقلة التحقيقات الجنائية الرقابية.