ΑρχικήSecurityΝέο malware στοχεύει εκτεθειμένα Docker API για εξόρυξη κρυπτονομισμάτων

Νέο malware στοχεύει εκτεθειμένα Docker API για εξόρυξη κρυπτονομισμάτων

Οι ερευνητές στον τομέα της κυβερνοασφάλειας αποκάλυψαν μια νέα εκστρατεία malware (κακόβουλου λογισμικού) που στοχεύει δημόσια εκτεθειμένα τελικά σημεία του Docker API.

Docker API

Ο στόχος αυτής της εκστρατείας είναι η εξόρυξη κρυπτονομισμάτων και η παράδοση άλλων κακόβουλων φορτίων.

Δείτε σχετικά: Το Commando Cat Cryptojacking στοχεύει Docker Instances

Μεταξύ των εργαλείων που έχουν αναπτυχθεί, συμπεριλαμβάνεται ένα εργαλείο απομακρυσμένης πρόσβασης που μπορεί να κατεβάζει και να εκτελεί επιπλέον κακόβουλα προγράμματα, καθώς και ένα βοηθητικό πρόγραμμα για τη διάδοση κακόβουλου λογισμικού μέσω SSH, όπως ανέφερε η πλατφόρμα ανάλυσης cloud Datadog σε μια αναφορά που δημοσιεύθηκε την περασμένη εβδομάδα.

#secnews #zuckerberg #ai #contentcreator
Σε μια πρόσφατη συνέντευξη, ο Mark Zuckerberg μοιράστηκε το όραμά του για ένα μέλλον όπου οι content creators θα έχουν τα δικά τους AI bots - κλώνους.
Σε μια πρόσφατη συνέντευξη, ο Zuckerberg μοιράστηκε το όραμά του για ένα μέλλον όπου οι δημιουργοί περιεχομένου θα έχουν κάτι σαν τα δικά τους AI bots, που θα αποτυπώνουν την προσωπικότητά τους και τους «επιχειρηματικούς στόχους» τους. Κατά τον Zuckerberg, αυτά τα bots θα αναλαμβάνουν μέρος της επικοινωνίας με το κοινό, ενώ οι content creators θα έχουν περισσότερο χρόνο για άλλες, πιθανώς πιο σημαντικές εργασίες.
Μάθετε περισσότερα: https://www.secnews.gr/610371/zuckerberg-sto-mellon-content-creators-tha-xrisimopoioun-ai-klonous/
00:00 Εισαγωγή
00:20 Απουσία χρόνου για τους content creators
00:40 Χρήση AI bots - κλώνων
01:40 Πιθανά προβλήματα
Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

#secnews #zuckerberg #ai #contentcreator

Σε μια πρόσφατη συνέντευξη, ο Mark Zuckerberg μοιράστηκε το όραμά του για ένα μέλλον όπου οι content creators θα έχουν τα δικά τους AI bots - κλώνους.

Σε μια πρόσφατη συνέντευξη, ο Zuckerberg μοιράστηκε το όραμά του για ένα μέλλον όπου οι δημιουργοί περιεχομένου θα έχουν κάτι σαν τα δικά τους AI bots, που θα αποτυπώνουν την προσωπικότητά τους και τους «επιχειρηματικούς στόχους» τους. Κατά τον Zuckerberg, αυτά τα bots θα αναλαμβάνουν μέρος της επικοινωνίας με το κοινό, ενώ οι content creators θα έχουν περισσότερο χρόνο για άλλες, πιθανώς πιο σημαντικές εργασίες.

Μάθετε περισσότερα: https://www.secnews.gr/610371/zuckerberg-sto-mellon-content-creators-tha-xrisimopoioun-ai-klonous/

00:00 Εισαγωγή
00:20 Απουσία χρόνου για τους content creators
00:40 Χρήση AI bots - κλώνων
01:40 Πιθανά προβλήματα

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Lld6bThQR094Umc0

Zuckerberg: Oι content creators θα χρησιμοποιούν AI κλώνους

SecNewsTV51 minutes ago

Η ανάλυση της καμπάνιας αποκάλυψε τακτικές που επαναλαμβάνονται από μια προηγούμενη δραστηριότητα, γνωστή ως Spinning YARN. Αυτή η δραστηριότητα είχε στόχο εσφαλμένες υπηρεσίες όπως Apache Hadoop YARN, Docker, Atlassian Confluence και Redis για σκοπούς εξόρυξης κρυπτονομισμάτων.

Η επίθεση ξεκινά όταν οι παράγοντες απειλής εντοπίζουν Docker servers με εκτεθειμένες θύρες (αριθμός θύρας 2375). Ακολουθεί μια σειρά βημάτων, ξεκινώντας με την αναγνώριση και την κλιμάκωση των προνομίων, πριν προχωρήσουν στη φάση εκμετάλλευσης.

Δείτε περισσότερα: Ο Cox διόρθωσε ευπάθεια API auth bypass σε εκατομμύρια modem

Τα ωφέλιμα φορτία ανακτώνται από υποδομή που ελέγχεται από τον χάκερ μέσω της εκτέλεσης ενός shell script με το όνομα “vurl”. Αυτό το σενάριο περιλαμβάνει ένα άλλο, με όνομα “b.sh”, το οποίο συσκευάζει ένα δυαδικό αρχείο κωδικοποιημένο σε Base64 που ονομάζεται επίσης “vurl”. Το “b.sh” είναι επίσης υπεύθυνο για την ανάκτηση και εκκίνηση ενός τρίτου σεναρίου φλοιού, γνωστού ως “ar.sh” (ή “ai.sh”).

«Το [‘b.sh’] script αποκωδικοποιεί και εξάγει αυτό το δυαδικό αρχείο στο /usr/bin/vurl, αντικαθιστώντας την υπάρχουσα έκδοση shell script», εξήγησε ο ερευνητής ασφαλείας Matt Muir. «Αυτό το binary διαφέρει από την shell script έκδοση, καθώς χρησιμοποιεί hard-coded domains».

Το shell script, “ar.sh”, εκτελεί έναν αριθμό ενεργειών, συμπεριλαμβανομένης της δημιουργίας ενός καταλόγου εργασίας, της εγκατάστασης εργαλείων για τη σάρωση του διαδικτύου για ευάλωτους κεντρικούς υπολογιστές, την απενεργοποίηση του τείχους προστασίας (firewall) και, τελικά, την ανάκτηση του ωφέλιμου φορτίου επόμενου σταδίου, που αναφέρεται ως “chkstart.”

Ένα δυαδικό Golang όπως το vurl, ο κύριος στόχος του είναι να διαμορφώσει τον κεντρικό υπολογιστή για απομακρυσμένη πρόσβαση και να φέρει πρόσθετα εργαλεία, συμπεριλαμβανομένων των “m.tar” και “top,” από έναν απομακρυσμένο server, ο τελευταίος από τον οποίο είναι ένας XMRig miner.

Διαβάστε ακόμη: Κρίσιμα ελαττώματα ασφαλείας παρατηρήθηκαν στο Judge0

“Στην αρχική Spinning YARN εκστρατεία, μεγάλο μέρος της λειτουργικότητας του chkstart αντιμετωπιζόταν από shell scripts, εξήγησε ο Muir. “Η μεταφορά αυτής της λειτουργικότητας σε κώδικα Go θα μπορούσε να υποδηλώνει ότι ο χάκερ επιχειρεί να περιπλέξει τη διαδικασία ανάλυσης, καθώς η στατική ανάλυση του μεταγλωττισμένου κώδικα είναι σημαντικά πιο δύσκολη από τα shell scripts.”Η λήψη μαζί με το “chkstart” είναι δύο άλλα ωφέλιμα φορτία που ονομάζονται exeremo, τα οποία χρησιμοποιούνται για να μετακινηθούν πλευρικά σε περισσότερους κεντρικούς υπολογιστές και να εξαπλωθεί η μόλυνση, και το fkoths, ένα ELF binary που βασίζεται στο Go για να διαγράψει ίχνη της κακόβουλης δραστηριότητας και να αντισταθεί στις προσπάθειες ανάλυσης.

Το “Exeremo” είναι επίσης σχεδιασμένο να εκτελεί ένα shell script (“s.sh”), το οποίο αναλαμβάνει την εγκατάσταση διαφόρων scanning εργαλείων, όπως το pnscan, το masscan και ενός προσαρμοσμένου σαρωτή Docker (“sd/httpd”), για τον εντοπισμό ευαίσθητων συστημάτων.

Docker API

Διαβάστε επίσης: Cryptojacking εκστρατεία στοχεύει εσφαλμένα διαμορφωμένα συμπλέγματα Kubernetes

“Η ενημέρωση της Spinning YARN καμπάνιας δείχνει μια συνεχή πρόθεση να στοχεύουν λανθασμένα διαμορφωμένους κεντρικούς υπολογιστές Docker για αρχική πρόσβαση,” δήλωσε ο Muir. “Ο απειλητικός παράγοντας πίσω από αυτή την εκστρατεία συνεχίζει να εξελίσσει τα ωφέλιμα φορτία, μεταφέροντας τη λειτουργικότητα στο Go. Αυτό μπορεί να υποδηλώνει προσπάθεια παρεμπόδισης της διαδικασίας ανάλυσης ή πειραματισμό με πολλαπλές κατασκευές”.

Πηγή: thehackernews

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS