Instâncias da API do Docker Engine acessíveis ao público estão sendo alvo de atores de ameaças como parte de uma campanha projetada para cooptar as máquinas em um botnet de negação de serviço distribuído (DDoS) apelidado de OracleIV.
"Os atacantes estão explorando essa má configuração para entregar um contêiner Docker malicioso, construído a partir de uma imagem chamada 'oracleiv_latest' e contendo malware Python compilado como um executável ELF", disseram os pesquisadores da Cado, Nate Bill e Matt Muir.
A atividade maliciosa começa com os atacantes usando uma solicitação HTTP POST para a API do Docker para recuperar uma imagem maliciosa do Docker Hub, que por sua vez, executa um comando para recuperar um script de shell (oracle.sh) de um servidor de comando e controle (C&C).
Oracleiv_latest pretende ser uma imagem MySQL para docker e já foi baixada 3.500 vezes até agora.
Em uma reviravolta talvez não tão surpreendente, a imagem também inclui instruções adicionais para buscar um minerador XMRig e sua configuração do mesmo servidor.
Dito isto, a empresa de segurança em nuvem afirmou que não observou nenhuma evidência de mineração de criptomoedas realizada pelo contêiner falsificado.
O script shell, por outro lado, é conciso e incorpora funções para conduzir ataques de DDoS, como slowloris, SYN floods e UDP floods.
Instâncias do Docker expostas tornaram-se um alvo de ataque lucrativo nos últimos anos, frequentemente usadas como condutores para campanhas de cryptojacking.
"Uma vez descoberto um endpoint válido, é trivial puxar uma imagem maliciosa e lançar um contêiner a partir dela para realizar qualquer objetivo concebível", disseram os pesquisadores.
"Hospedar o contêiner malicioso no Docker Hub, a biblioteca de imagens de contêineres Docker, simplifica ainda mais este processo."
Não é apenas o Docker, já que servidores MySQL vulneráveis emergiram como o alvo de um malware botnet de DDoS de origem chinesa conhecido como Ddostf, de acordo com o AhnLab Security Emergency Response Center (ASEC).
"Embora a maioria dos comandos suportados pelo Ddostf sejam semelhantes aos dos bots de DDoS típicos, uma característica distintiva do Ddostf é sua capacidade de se conectar a um endereço recém-recebido do servidor C&C e executar comandos lá por um certo período", disse o ASEC.
"Só comandos DDoS podem ser executados no novo servidor C&C.
Isso implica que o ator de ameaça Ddostf pode infectar inúmeros sistemas e, em seguida, vender ataques de DDoS como um serviço."
Agravando ainda mais a situação está o surgimento de várias novas botnets de DDoS, como hailBot, kiraiBot, e catDDoS que são baseadas em Mirai, cujo código fonte vazou em 2016.
"Esses cavalos de Tróia recentemente desenvolvidos introduzem novos algoritmos de criptografia para ocultar informações críticas ou se escondem melhor ao modificar o processo de ativação e projetar métodos de comunicação mais discretos", revelou a empresa de cibersegurança NSFOCUS no mês passado.
Outro malware de DDoS que reapareceu este ano é o XorDdos, que infecta dispositivos Linux e "os transforma em zumbis" para ataques de DDoS subsequentes contra alvos de interesse.
Palo Alto Networks Unit 42 disse que a campanha começou no final de julho de 2023, antes de atingir seu pico em torno de 12 de agosto de 2023.
"Antes que o malware infectasse com sucesso um dispositivo, os atacantes iniciaram um processo de varredura, empregando solicitações HTTP para identificar vulnerabilidades potenciais em seus alvos", observou a empresa.
"Para evitar a detecção, a ameaça transforma seu processo em um serviço de fundo que funciona independentemente da sessão de usuário atual."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...