Les instances de l’API Docker Engine accessibles au public sont ciblées par des acteurs malveillants dans le cadre d’une campagne conçue pour coopter les machines dans un botnet par déni de service distribué (DDoS) baptisé OracleIV.
« Les attaquants exploitent cette mauvaise configuration pour livrer un conteneur Docker malveillant, construit à partir d’une image nommée ‘oracleiv_latest’ et contenant un malware Python compilé en tant qu’exécutable ELF », ont déclaré Nate Bill et Matt Muir, chercheurs de Cado. dit.
L’activité malveillante commence lorsque les attaquants utilisent une requête HTTP POST à l’API de Docker pour récupérer une image malveillante de Docker Hub, qui, à son tour, exécute une commande pour récupérer un script shell (oracle.sh) à partir d’un système de commande et de contrôle (C&C ) serveur.
Oracleiv_latest prétend être une image MySQL pour Docker et a été extraite 3 500 fois à ce jour. Dans une tournure peut-être pas si surprenante, l’image comprend également des instructions supplémentaires pour récupérer un mineur XMRig et sa configuration à partir du même serveur.
Cela dit, la société de sécurité cloud a déclaré qu’elle n’avait observé aucune preuve d’extraction de cryptomonnaie effectuée par le conteneur contrefait. Le script shell, en revanche, est concis et intègre des fonctions permettant de mener des attaques DDoS telles que slowloris, Inondations SYNet Inondations UDP.
Les instances Docker exposées sont devenues une cible d’attaque lucrative ces dernières années, souvent utilisées comme canal pour des campagnes de cryptojacking.
« Une fois qu’un point final valide est découvert, il est trivial d’extraire une image malveillante et de lancer un conteneur à partir de celle-ci pour atteindre n’importe quel objectif imaginable », ont déclaré les chercheurs. « L’hébergement du conteneur malveillant dans Docker Hub, la bibliothèque d’images de conteneurs de Docker, rationalise encore davantage ce processus. »
Il ne s’agit pas seulement de Docker, car les serveurs MySQL vulnérables sont devenus la cible d’un autre malware botnet DDoS connu sous le nom de Ddostf, selon l’AhnLab Security Emergency Response Center (ASEC).
« Bien que la plupart des commandes prises en charge par Ddostf soient similaires à celles des robots DDoS classiques, une caractéristique distinctive de Ddostf est sa capacité à se connecter à une adresse nouvellement reçue du serveur C&C et à y exécuter des commandes pendant une certaine période », ASEC dit.
« Seules les commandes DDoS peuvent être exécutées sur le nouveau serveur C&C. Cela implique que l’acteur malveillant Ddostf peut infecter de nombreux systèmes et ensuite vendre des attaques DDoS en tant que service. »
Ce qui aggrave encore les choses est l’émergence de plusieurs nouveaux botnets DDoS, tels que hailBot, kiraiBot et catDDoS, basés sur Miraidont le code source a été divulgué en 2016.
« Ces chevaux de Troie nouvellement développés introduisent de nouveaux algorithmes de cryptage pour masquer les informations critiques ou mieux se cachent en modifiant le processus de mise en service et en concevant des méthodes de communication plus secrètes », a déclaré la société de cybersécurité NSFOCUS. révélé le mois dernier.
Un autre malware DDoS qui a refait surface cette année est XorDdos, qui infecte les appareils Linux et les « transforme en zombies » pour des attaques DDoS ultérieures contre des cibles d’intérêt.
L’unité 42 de Palo Alto Networks a déclaré que la campagne avait débuté fin juillet 2023, avant de culminer vers le 12 août 2023.
« Avant que les logiciels malveillants ne réussissent à infiltrer un appareil, les attaquants ont lancé un processus d’analyse, en utilisant des requêtes HTTP pour identifier les vulnérabilités potentielles de leurs cibles », explique la société. noté. « Pour échapper à la détection, la menace transforme son processus en un service d’arrière-plan qui s’exécute indépendamment de la session utilisateur en cours. »