{"id":1045819,"date":"2023-11-14T16:18:14","date_gmt":"2023-11-14T16:18:14","guid":{"rendered":"https:\/\/teknomers.com\/es\/alerta-oracleiv-ddos-botnet-apunta-a-las-api-publicas-de-docker-engine-para-secuestrar-contenedores\/"},"modified":"2023-11-14T16:18:19","modified_gmt":"2023-11-14T16:18:19","slug":"alerta-oracleiv-ddos-botnet-apunta-a-las-api-publicas-de-docker-engine-para-secuestrar-contenedores","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/alerta-oracleiv-ddos-botnet-apunta-a-las-api-publicas-de-docker-engine-para-secuestrar-contenedores\/","title":{"rendered":"Alerta: OracleIV DDoS Botnet apunta a las API p\u00fablicas de Docker Engine para secuestrar contenedores"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>14 de noviembre de 2023<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Seguridad en la nube\/malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Las instancias de Docker Engine API de acceso p\u00fablico est\u00e1n siendo atacadas por actores de amenazas como parte de una campa\u00f1a dise\u00f1ada para incorporar las m\u00e1quinas a una botnet de denegaci\u00f3n de servicio distribuida (DDoS) denominada Or\u00e1culoIV<\/strong>.<\/p>\n

“Los atacantes est\u00e1n aprovechando esta configuraci\u00f3n err\u00f3nea para entregar un contenedor Docker malicioso, creado a partir de una imagen llamada ‘oracleiv_latest’ y que contiene malware Python compilado como un ejecutable ELF”, afirman los investigadores de Cado, Nate Bill y Matt Muir. dicho<\/a>.<\/p>\n

La actividad maliciosa comienza cuando los atacantes utilizan una solicitud HTTP POST a la API de Docker para recuperar una imagen maliciosa de Docker Hub, que, a su vez, ejecuta un comando para recuperar un script de shell (oracle.sh) desde un comando y control (C&C). ) servidor.<\/p>\n

Oracleiv_latest<\/a> pretende ser una imagen de MySQL para Docker y se ha extra\u00eddo 3500 veces hasta la fecha. En un giro quiz\u00e1s no tan sorprendente, la imagen tambi\u00e9n incluye instrucciones adicionales para buscar un minero XMRig y su configuraci\u00f3n desde el mismo servidor.<\/p>\n

\"La<\/a><\/center><\/div>\n

Dicho esto, la empresa de seguridad en la nube dijo que no observ\u00f3 ninguna evidencia de extracci\u00f3n de criptomonedas realizada por el contenedor falsificado. El script de shell, por otro lado, es conciso e incorpora funciones para realizar ataques DDoS como Loris lento<\/a>, inundaciones SYN<\/a>y inundaciones UDP<\/a>.<\/p>\n

Las instancias de Docker expuestas se han convertido en un objetivo de ataque lucrativo en los \u00faltimos a\u00f1os, y a menudo se utilizan como conductos para campa\u00f1as de criptojacking.<\/p>\n

“Una vez que se descubre un punto final v\u00e1lido, es trivial extraer una imagen maliciosa y lanzar un contenedor desde ella para llevar a cabo cualquier objetivo imaginable”, dijeron los investigadores. “Alojar el contenedor malicioso en Docker Hub, la biblioteca de im\u00e1genes de contenedores de Docker, agiliza a\u00fan m\u00e1s este proceso”.<\/p>\n

No es solo Docker, ya que los servidores MySQL vulnerables se han convertido en el objetivo de otro malware de botnet DDoS conocido como Ddostf, seg\u00fan el Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC).<\/p>\n

“Aunque la mayor\u00eda de los comandos soportados por Ddostf son similares a los de los t\u00edpicos robots DDoS, una caracter\u00edstica distintiva de Ddostf es su capacidad para conectarse a una direcci\u00f3n reci\u00e9n recibida del servidor C&C y ejecutar comandos all\u00ed durante un per\u00edodo determinado”, ASEC dicho<\/a>.<\/p>\n

\"servidores<\/a><\/div>\n

“En el nuevo servidor C&C s\u00f3lo se pueden ejecutar comandos DDoS. Esto implica que el actor de amenazas Ddostf puede infectar numerosos sistemas y luego vender ataques DDoS como un servicio”.<\/p>\n

Para agravar a\u00fan m\u00e1s las cosas, est\u00e1 la aparici\u00f3n de varias nuevas botnets DDoS, como hailBot, kiraiBot y catDDoS, que se basan en mirai<\/a>cuyo c\u00f3digo fuente se filtr\u00f3 en 2016.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Estos caballos de Troya recientemente desarrollados introducen nuevos algoritmos de cifrado para ocultar informaci\u00f3n cr\u00edtica o se ocultan mejor modificando el proceso de puesta en marcha y dise\u00f1ando m\u00e9todos de comunicaci\u00f3n m\u00e1s encubiertos”, dijo la empresa de ciberseguridad NSFOCUS. revel\u00f3<\/a> el mes pasado.<\/p>\n

Otro malware DDoS que ha resurgido este a\u00f1o es XorDdos, que infecta dispositivos Linux y “los transforma en zombis” para realizar ataques DDoS posteriores contra objetivos de inter\u00e9s.<\/p>\n

La Unidad 42 de Palo Alto Networks dijo que la campa\u00f1a comenz\u00f3 a fines de julio de 2023, antes de alcanzar su punto m\u00e1ximo alrededor del 12 de agosto de 2023.<\/p>\n

“Antes de que el malware se infiltrara con \u00e9xito en un dispositivo, los atacantes iniciaron un proceso de escaneo, empleando solicitudes HTTP para identificar posibles vulnerabilidades en sus objetivos”, dijo la compa\u00f1\u00eda. anotado<\/a>. “Para evadir la detecci\u00f3n, la amenaza convierte su proceso en un servicio en segundo plano que se ejecuta independientemente de la sesi\u00f3n actual del usuario”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n