Publiek toegankelijke Docker Engine API-instanties worden het doelwit van bedreigingsactoren als onderdeel van een campagne die is ontworpen om de machines te coöpteren in een gedistribueerd denial-of-service (DDoS) botnet genaamd Orakel IV.
“Aanvallers maken misbruik van deze verkeerde configuratie om een kwaadaardige Docker-container af te leveren, opgebouwd uit een afbeelding met de naam ‘oracleiv_latest’ en die Python-malware bevat die is gecompileerd als een ELF-uitvoerbaar bestand”, aldus Cado-onderzoekers Nate Bill en Matt Muir.
De kwaadaardige activiteit begint met aanvallers die een HTTP POST-verzoek aan de Docker-API gebruiken om een kwaadaardige afbeelding op te halen uit Docker Hub, die op zijn beurt een opdracht uitvoert om een shell-script (oracle.sh) op te halen uit een command-and-control (C&C ) server.
Oracleiv_latest beweert een MySQL-image voor docker te zijn en is tot nu toe 3.500 keer opgehaald. In een misschien niet zo verrassende wending bevat de afbeelding ook aanvullende instructies om een XMRig-mijnwerker en de configuratie ervan van dezelfde server op te halen.
Dat gezegd hebbende, zei het cloudbeveiligingsbedrijf dat het geen enkel bewijs had waargenomen van cryptocurrency-mining uitgevoerd door de namaakcontainer. Het shellscript daarentegen is beknopt en bevat functies om DDoS-aanvallen uit te voeren, zoals slowloris, SYN-floods en UDP-floods.
Blootgestelde Docker-instanties zijn de afgelopen jaren een lucratief aanvalsdoel geworden en worden vaak gebruikt als kanaal voor cryptojacking-campagnes.
“Zodra een geldig eindpunt is ontdekt, is het triviaal om een kwaadaardig beeld op te halen en er een container van te lanceren om elk denkbaar doel uit te voeren”, aldus de onderzoekers. “Het hosten van de kwaadaardige container in Docker Hub, de containerimagebibliotheek van Docker, stroomlijnt dit proces nog verder.”
Het is niet alleen Docker, want volgens het AhnLab Security Emergency Response Center (ASEC) zijn kwetsbare MySQL-servers het doelwit geworden van een andere DDoS-botnet-malware, bekend als Ddostf.
“Hoewel de meeste opdrachten die door Ddostf worden ondersteund vergelijkbaar zijn met die van typische DDoS-bots, is een onderscheidend kenmerk van Ddostf de mogelijkheid om verbinding te maken met een nieuw ontvangen adres van de C&C-server en daar gedurende een bepaalde periode opdrachten uit te voeren”, aldus ASEC.
“Op de nieuwe C&C-server kunnen alleen DDoS-opdrachten worden uitgevoerd. Dit impliceert dat de Ddostf-bedreigingsacteur talloze systemen kan infecteren en vervolgens DDoS-aanvallen als een dienst kan verkopen.”
Wat de zaken nog verder verergert, is de opkomst van verschillende nieuwe DDoS-botnets, zoals hailBot, kiraiBot en catDDoS die gebaseerd zijn op Mirai, waarvan de broncode in 2016 lekte.
“Deze nieuw ontwikkelde Trojaanse paarden introduceren nieuwe encryptie-algoritmen om cruciale informatie te verbergen, of kunnen zichzelf beter verbergen door het go-live-proces aan te passen en meer geheime communicatiemethoden te ontwerpen”, onthulde cyberbeveiligingsbedrijf NSFOCUS vorige maand.
Een andere DDoS-malware die dit jaar weer de kop opsteekt, is XorDdos, die Linux-apparaten infecteert en “in zombies verandert” voor vervolg-DDoS-aanvallen op interessante doelwitten.
Palo Alto Networks Unit 42 zei dat de campagne eind juli 2023 begon, voordat ze rond 12 augustus 2023 een hoogtepunt bereikte.
“Voordat malware met succes een apparaat infiltreerde, startten de aanvallers een scanproces, waarbij ze HTTP-verzoeken gebruikten om potentiële kwetsbaarheden in hun doelwitten te identificeren”, aldus het bedrijf. “Om detectie te omzeilen, verandert de dreiging zijn proces in een achtergrondservice die onafhankelijk van de huidige gebruikerssessie draait.”
