اكتشف الباحثون حملة اختراق إلكترونية منسقة تستهدف الخوادم السحابية التي تشغل مثيلات ضعيفة من Apache Hadoop وAtlassian Confluence وDocker وRedis. يقوم المهاجمون بإسقاط أداة تعدين العملات المشفرة، ولكنهم يقومون أيضًا بتثبيت غلاف عكسي قائم على Linux والذي من شأنه أن يسمح بالاستهداف المحتمل في المستقبل وانتشار البرامج الضارة.
وفقًا لتحليل أجرته شركة Cado Security، يبحث الخصم في معظم الحالات عن التكوينات السحابية الخاطئة الشائعة لاستغلالها. ولكنها تستخدم أيضًا ثغرة أمنية قديمة في تنفيذ التعليمات البرمجية عن بُعد (RCE) في خادم Confluence (CVE-2022-26134) في حملتها المستمرة.
وقال الباحثون أيضًا إن تكتيكات المهاجمين تتداخل مع TeamTNT وWatchDog، وهما مجموعتا تهديد معروفتان باستهداف البيئات السحابية والحاويات.
يقول كريس دومان، المؤسس المشارك والرئيس التنفيذي للتكنولوجيا في Cado Security: “إن الهجمات مبرمجة ومؤتمتة نسبيًا، لذا فهي تبحث عن نقاط الضعف المعروفة في Confluence والمنصات الأخرى والتكوينات الخاطئة المعروفة في منصات مثل Redis وDocker”.
غالبًا ما يكون تحديد هذه الحالات الضعيفة أمرًا بسيطًا، استنادًا إلى المسح كخطوة أولى ومهاجمة الحالات الضعيفة المحددة كخطوة ثانية.
