Kinsing Cryptojacking Menyerang Kubernetes Clusters melalui PostgreSQL yang salah konfigurasi

-

 Kinsing Cryptojacking Menyerang Kubernetes Clusters melalui PostgreSQL yang salah konfigurasi

 Jan 09, 2023 | Ravie Lakshmanan | Kubernetes / Cryptojacking



Untuk mendapatkan akses awal ke penyiapan Kubernetes, pelaku ancaman di balik operasi cryptojacking Kinsing telah terlihat memanfaatkan server PostgreSQL yang tidak terlindungi dan tidak terkonfigurasi dengan benar.

Menurut sebuah makalah yang diterbitkan minggu lalu oleh Sunders Bruskin, seorang peneliti keamanan di Microsoft Defender untuk Cloud, strategi vektor akses awal kedua melibatkan penggunaan gambar yang lemah.

Kinsing memiliki sejarah panjang dalam menyerang lingkungan kemas, sering menggunakan port API daemon Docker terbuka yang telah salah konfigurasi serta memanfaatkan eksploit yang baru ditemukan untuk menginstal perangkat lunak penambangan cryptocurrency.

Aktor ancaman telah diidentifikasi menghentikan dan mencopot layanan dan proses intensif sumber daya yang bersaing, serta menggunakan rootkit untuk menutupi keberadaannya.

Microsoft mengklaim bahwa aktor Kinsing sekarang telah menggunakan kesalahan konfigurasi server PostgreSQL untuk membangun pijakan, dan perusahaan telah melihat "jumlah cluster yang signifikan" terinfeksi dengan cara ini.

Kesalahan konfigurasi menyangkut pengaturan autentikasi kepercayaan, yang jika dikonfigurasi untuk mengizinkan koneksi dari alamat IP mana pun, dapat digunakan untuk menyambung ke server tanpa autentikasi apa pun dan mengakibatkan eksekusi kode.

Menurut Bruskin, memberikan akses ke sejumlah besar alamat IP membuat wadah PostgreSQL berisiko.

Untuk mengeksekusi muatan berbahaya, vektor serangan alternatif menargetkan server yang menjalankan versi PHPUnit, Liferay, WebLogic, dan WordPress yang rentan.

Selain itu, dalam "kampanye luas" baru-baru ini, penyerang mencari port WebLogic default terbuka 7001 dan, jika ada yang teridentifikasi, meluncurkan malware melalui perintah shell.

Tanpa langkah-langkah keamanan yang memadai, mengekspos cluster ke Internet membuatnya rentan terhadap serangan dari sumber luar, menurut Bruskin. Selain itu, penyerang dapat mengakses cluster dengan mengeksploitasi masalah umum pada gambar.


Author : www.khadiqdhoc.eu.org

#khadiqdhoc #khadiqdhoc #khadiqdhoc #khadiqdhoc  #khadiqdhoc #khadiqdhoc  #khadiqdhoc #khadiq

Komentar

Posting Komentar

Postingan populer dari blog ini

CISA mengingatkan adanya serangan aktif yang memanfaatkan kelemahan Fortra MFT, TerraMaster NAS, dan driver Intel.

-
Gambar
CISA mengingatkan adanya serangan aktif yang memanfaatkan kelemahan Fortra MFT, TerraMaster NAS, dan driver Intel. Ravie Lakhsmanan Pada hari Jumat, Katalog Kerentanan yang Dieksploitasi (KEV) diperbarui oleh Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) untuk mencakup tiga kerentanan, karena adanya bukti penyalahgunaan yang berkelanjutan. Salah satu dari tiga kerentanan yang baru ditambahkan adalah CVE-2022-24990, yang merupakan kesalahan yang memengaruhi perangkat TNAS yang dibuat oleh TerraMaster. Kerentanan ini dapat memungkinkan penyerang untuk menjalankan kode dari jarak jauh tanpa otentikasi dan dengan hak istimewa paling tinggi. Pada Maret 2022, Octagon Networks, sebuah perusahaan riset keamanan siber Ethiopia, mengungkapkan informasi tentang kerentanan tersebut. Pelaku peretas negara bagian Korea Utara dilaporkan menggunakan kerentanan tersebut untuk menargetkan entitas perawatan kesehatan dan infrastruktur kritis dengan ransomware, sesuai dengan peringat...
Baca selengkapnya

Studi Baru Mengungkap Kerentanan Model Text-to-SQL yang Memungkinkan Pencurian Data dan Serangan DoS

-
Gambar
Studi Baru Mengungkap Kerentanan Model Text-to-SQL yang Memungkinkan Pencurian Data dan Serangan DoS Jan 09, 2023 | Ravie Lakshmanan | Database Security / PLM Framework Menggunakan model Text-to-SQL untuk menghasilkan kode berbahaya, sekelompok akademisi telah mengembangkan teknik inovatif yang mungkin digunakan oleh musuh untuk mengumpulkan data rahasia dan meluncurkan serangan denial-of-service (DoS). Menurut Xutan Peng, seorang peneliti di University of Sheffield, "berbagai aplikasi basis data memanfaatkan pendekatan AI yang dapat mengubah pertanyaan manusia menjadi kueri SQL (khususnya Text-to-SQL) untuk lebih terlibat dengan pengguna." "Kami menemukan bahwa cracker dapat mengelabui model Text-to-SQL untuk membuat kode berbahaya dengan mengajukan beberapa pertanyaan yang dibuat dengan cerdik. Karena kode ini berjalan secara otomatis di database, hasilnya bisa sangat buruk (seperti pelanggaran data dan penolakan-of- serangan layanan)." Hasilnya mewakili contoh e...
Baca selengkapnya

BLUEBOTTLE Cybercrime Group Memangsa Sektor Keuangan di Negara-negara Afrika yang Berbahasa Perancis

-
Gambar
BLUEBOTTLE Cybercrime Group Memangsa Sektor Keuangan di Negara-negara Afrika yang Berbahasa Perancis Ravie Lakshmanan Dari setidaknya Juli 2022 hingga September 2022, kelompok kejahatan dunia maya yang dikenal sebagai Bluebottle telah dikaitkan dengan serangkaian serangan yang ditargetkan pada sektor keuangan di negara-negara Afrika berbahasa Prancis. "Grup ini secara ekstensif menggunakan peralatan hidup-di-luar-tanah, alat penggunaan ganda, dan malware komoditas, tanpa malware khusus yang digunakan dalam kampanye ini," Symantec, sebuah divisi dari Broadcom Software, mengatakan dalam sebuah laporan yang dibagikan dengan The Hacker News. Menurut perusahaan keamanan siber, aktivitas tersebut tumpang tindih dengan klaster ancaman yang dikenal sebagai OPERA1ER, yang melakukan lusinan serangan terhadap bank, layanan keuangan, dan perusahaan telekomunikasi di Afrika, Asia, dan Amerika Latin antara tahun 2018 dan 2022. Atribusi didasarkan pada kesamaan dalam perangkat yang digunaka...
Baca selengkapnya