Javno dostupne Docker Engine API instance su ciljane od strane hakera kao dio kampanje osmišljene da kooptiraju mašine u distribuisani botnet za uskraćivanje usluge (DDoS) nazvan OracleIV.
“Napadači iskorištavaju ovu pogrešnu konfiguraciju da isporuče zlonamjerni Docker kontejner, napravljen od slike nazvane ‘oracleiv_latest’, a koji sadrži Python malver kompajliran kao ELF izvršni fajl”, rekli su istraživači Cado Nate Bill i Matt Muir.
Zlonamjerna aktivnost počinje tako što napadači koriste HTTP POST zahtjev do Docker API-ja da dohvate malicioznu sliku iz Docker Hub-a, koji zauzvrat pokreće naredbu za preuzimanje shell skripte (oracle.sh) sa command-and-control (C&C ) servera.
Oracleiv_latest navodno je MySQL slika za docker i do danas je izvučena 3500 puta. U možda ne tako iznenađujućem zaokretu, slika također uključuje dodatna uputstva za preuzimanje XMRig rudara i njegove konfiguracije sa istog servera.
Uz to, firma za sigurnost u cloudu rekla je da nije uočila nikakve dokaze o rudarenju kriptovaluta koje je izvršio krivotvoreni kontejner. Shell skripta je, s druge strane, sažeta i uključuje funkcije za izvođenje DDoS napada kao što su slowloris, SYN floods i UDP flood.
Izložene instance Dockera postale su unosna meta napada u posljednjih nekoliko godina, često korištene kao kanali za kampanje cryptojacking-a.
“Kada se otkrije valjana krajnja tačka, trivijalno je povući zlonamjernu sliku i pokrenuti kontejner iz nje kako bi se ostvario bilo koji zamislivi cilj”, rekli su istraživači. “Hostovanje zlonamjernog kontejnera u Docker Hub-u, Dockerovoj biblioteci slika kontejnera, dodatno pojednostavljuje ovaj proces.”
Nije u pitanju samo Docker, jer su se ranjivi MySQL serveri pojavili kao meta DDoS botnet malvera kineskog porijekla poznatog kao Ddostf, prema AhnLab Security Emergency Response Center (ASEC).
“Iako je većina komandi koje podržava Ddostf slična onima tipičnih DDoS botova, posebna karakteristika Ddostf-a je njegova sposobnost da se poveže na novoprimljenu adresu sa C&C servera i tamo izvršava komande u određenom periodu”, rekao je ASEC.
“Samo DDoS komande se mogu izvoditi na novom C&C serveru. To implicira da haker Ddostf može zaraziti brojne sisteme, a zatim prodati DDoS napade kao uslugu.”
Ono što dodatno otežava je pojava nekoliko novih DDoS botneta, kao što su hailBot, kiraiBot i catDDoS koji su zasnovani na Miraiju, čiji je izvorni kod procurio 2016.
“Ovi novorazvijeni trojanski konji ili uvode nove algoritme za šifriranje kako bi sakrili kritične informacije ili se bolje skrivaju modifikovanjem procesa pokretanja uživo i dizajniranjem više prikrivenih metoda komunikacije”, otkrila je kompanija za sajber sigurnost NSFOCUS prošlog mjeseca.
Još jedan DDoS malver koji se ponovo pojavio ove godine je XorDdos, koji inficira Linux uređaje i “transformiše ih u zombije” za naknadne DDoS napade na mete od interesa.
Palo Alto Networks Unit 42 kaže da je kampanja počela krajem jula 2023. godine, prije nego što je dostigla vrhunac oko 12. avgusta 2023. godine.
“Prije nego što se malver uspješno infiltrirao u uređaj, napadači su pokrenuli proces skeniranja, koristeći HTTP zahtjeve za identifikaciju potencijalnih ranjivosti na svojim metama”, napominje kompanija. “Da bi izbjegla otkrivanje, prijetnja pretvara svoj proces u pozadinski servis koji radi nezavisno od trenutne korisničke sesije.”
Izvor: The Hacker News
