Offentligt tillgängliga Docker Engine API instanser riktas mot hotaktörer som en del av en kampanj utformad för att samordna maskinerna i ett distribuerat denial-of-service (DDoS) botnät kallat OracleIV.
"Angriparen utnyttjar denna felkonfiguration för att leverera en skadlig Docker-container, byggd av en bild som heter 'oracleiv_latest' och som innehåller Python malware kompilerad som en ELF-körbar", säger Cado forskarna Nate Bill och Matt Muir.
Den skadliga aktiviteten börjar med att angripare använder en HTTP POST begäran till Dockers API för att hämta en skadlig bild från Docker Hub, som i sin tur kör ett kommando för att hämta ett skalskript (oracle.sh) från en command-and-control (C&C) ) server.
Oracleiv_latest utger sig för att vara en MySQL avbildning för docker. I en kanske inte så överraskande vändning innehåller bilden även ytterligare instruktioner för att hämta en XMRig miner och dess konfiguration från samma server.
Som sagt, molnsäkerhetsföretaget sa att det inte observerade några bevis för kryptovalutautvinning utförd av den förfalskade behållaren. Skalskriptet, å andra sidan, är kortfattat och innehåller funktioner för att utföra DDoS attacker som slowloris, SYN översvämningar och UDP översvämningar.
Exponerade Docker instanser har blivit ett lukrativt attackmål de senaste åren, ofta använt som kanaler för kryptojackningskampanjer.
"När en giltig slutpunkt har upptäckts är det trivialt att dra en skadlig bild och starta en behållare från den för att utföra alla tänkbara mål", säger forskarna. "Att vara värd för den skadliga behållaren i Docker Hub, Dockers behållarbildbibliotek, effektiviserar denna process ytterligare."
Det är inte bara Docker, eftersom sårbara MySQL servrar har dykt upp som målet för en DDoS botnätskadlig kod med kinesiskt ursprung känd som Ddostf, enligt AhnLab Security Emergency Response Center (ASEC).
"Även om de flesta kommandon som stöds av Ddostf liknar de från typiska DDoS bots, är en utmärkande egenskap hos Ddostf dess förmåga att ansluta till en nyligen mottagen adress från C&C servern och utföra kommandon där under en viss period", säger ASEC.
"Endast DDoS kommandon kan utföras på den nya C&C servern. Detta innebär att Ddostf hotaktören kan infektera många system och sedan sälja DDoS attacker som en tjänst."
Vad som ytterligare förvärrar är uppkomsten av flera nya DDoS botnät, som hailBot, kiraiBot och catDDoS som är baserade på Mirai, vars källkod läckte ut 2016.
"Dessa nyutvecklade trojanska hästar introducerar antingen nya krypteringsalgoritmer för att dölja viktig information eller bättre gömma sig själva genom att modifiera live-processen och designa mer hemliga kommunikationsmetoder", avslöjade cybersäkerhetsföretaget NSFOCUS förra månaden.
En annan DDoS skadlig kod som har dykt upp igen i år är XorDdos, som infekterar Linux enheter och "förvandlar dem till zombies" för efterföljande DDoS attacker mot mål av intresse.
Palo Alto Networks Unit 42 sa att kampanjen började i slutet av juli 2023, innan den nådde sin topp runt den 12 augusti 2023.
"Innan skadlig programvara framgångsrikt infiltrerade en enhet, initierade angriparna en skanningsprocess och använde HTTP förfrågningar för att identifiera potentiella sårbarheter i deras mål", noterade företaget. "För att undvika upptäckt förvandlar hotet sin process till en bakgrundstjänst som körs oberoende av den aktuella användarsessionen."
Inga kommentarer:
Skicka en kommentar