Výzkumníci odhalili novou útočnou kampaň, která zneužívá oblíbený nástroj pro skenování zranitelností Trivy k šíření malwaru typu infostealer prostřednictvím platformy Docker. Útok přitom nespouští pouze škodlivý kód určený ke krádeži citlivých dat, ale zároveň aktivuje červa schopného samovolného šíření a nebezpečný wiper zaměřený na prostředí Kubernetes.
Útočníci v rámci této kampaně cílí na vývojáře a týmy DevOps, kteří při své každodenní práci využívají nástroj Trivy – open-source skener bezpečnostních zranitelností od společnosti Aqua Security. Škodlivý kód je distribuován prostřednictvím podvržených Docker obrazů, které na první pohled působí legitimně a napodobují důvěryhodné zdroje.
Jakmile oběť stáhne a spustí kompromitovaný obraz, dojde k řetězové reakci:
- Infostealer začne okamžitě sbírat citlivé informace z napadeného systému, včetně přihlašovacích údajů, tokenů a dalších dat uložených v prostředí.
- Červ se pokusí o samovolné šíření do dalších dostupných systémů v síti.
- Kubernetes wiper cílí na orchestrační prostředí a je schopen způsobit rozsáhlé škody mazáním dat a konfigurací v clusterech Kubernetes.
Zneužití důvěry v bezpečnostní nástroje
Zvláště znepokojivým aspektem tohoto útoku je skutečnost, že útočníci záměrně zvolili nástroj, jemuž bezpečnostní komunita přirozeně důvěřuje. Vývojáři a správci systémů, kteří Trivy používají právě proto, aby svá prostředí chránili, se tak paradoxně stávají terčem útoku skrze tento nástroj.
Tato taktika odráží rostoucí trend, kdy kyberzločinci cílí na nástroje a komponenty dodavatelského řetězce softwaru, jež jsou součástí každodenních pracovních postupů v oblasti vývoje a provozu aplikací.
Dopad na prostředí Kubernetes
Přítomnost wiperu zaměřeného na Kubernetes představuje obzvláště závažnou hrozbu pro organizace provozující kontejnerizované aplikace. Wiper je navržen tak, aby způsobil maximální škody v cloudových a hybridních prostředích, přičemž jeho aktivita může vést k výpadkům služeb, ztrátě dat a narušení provozní kontinuity.
Tato kampaň opět připomíná, že ani bezpečnostní nástroje samotné nejsou imunní vůči zneužití, a zdůrazňuje nutnost komplexního přístupu k zabezpečení celého vývojového a provozního řetězce.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
