Il malware "Doki" attacca i server Docker utilizzando Dogecoin
Il malware che è rimasto inosservato per sei mesi sta sfruttando le porte dell'API Docker configurate in modo errato per avviare payload dannosi, mentre abusa della blockchain della criptovaluta Dogecoin nel processo.
Il malware, noto come "Doki", prende di mira ambienti containerizzati mal configurati ospitati su Azure, AWS e una serie di altre importanti piattaforme cloud, secondo i ricercatori di Intezer, con gli aggressori in grado di trovare porte API Docker accessibili pubblicamente e sfruttarle per stabilire le proprie propri contenitori.
Doki è quindi in grado di installare il malware su un'infrastruttura mirata in base al codice ricevuto dai suoi operatori, generando ed eliminando i container durante il processo.
Doki funge da backdoor Linux non rilevabile e rappresenta un'evoluzione della campagna Ngrok Botnet di due anni fa. In modo allarmante, è anche riuscito a eludere tutte le 60 piattaforme malware elencate su VirusTotal da quando è stato analizzato per la prima volta nel gennaio 2020.
Questo particolare ceppo è insolito nel senso che abusa della blockchain della criptovaluta Dogecoin per attaccare questi ambienti containerizzati. Gli aggressori utilizzano un metodo abbastanza ingegnoso per impedire la rimozione dell'infrastruttura botnet, che comporta la modifica dinamica del dominio del server di comando e controllo (C2) in base alle transazioni registrate su un portafoglio Dogecoin.
L'indirizzo del dominio C2, da cui viene inviato il payload, cambia in base alla quantità di Dogecoin nel portafoglio in un dato momento. Quando una criptovaluta viene aggiunta o rimossa dal portafoglio, il sistema codifica la transazione e crea un nuovo indirizzo univoco da cui possono controllare il malware Doki.
A causa della natura sicura e decentralizzata di Blockchain, questa infrastruttura non può essere rimossa dalle forze dell'ordine e nuovi indirizzi non possono essere anticipati da altri poiché solo gli aggressori possono effettuare transazioni sul proprio portafoglio Dogecoin.
“Le minacce Linux stanno diventando più comuni. Un fattore che contribuisce a ciò è il crescente spostamento e la dipendenza dagli ambienti cloud, che sono per lo più basati sull'infrastruttura Linux", hanno affermato i ricercatori Nicole Fishbein e Michael Kajiloti. "Quindi, gli aggressori si sono adattati di conseguenza con nuovi strumenti e tecniche progettati specificamente per questa infrastruttura".
Storicamente, la Ngrok Botnet è stata una delle minacce più diffuse che abusava di porte API Docker configurate in modo errato in modo tale da eseguire malware, hanno aggiunto. Come parte dell'attacco, gli hacker avrebbero abusato delle funzionalità di configurazione Docker per eludere le restrizioni sui container ed eseguire vari payload dall'host.
Tali minacce implementano anche scanner di rete per identificare gli intervalli IP dei provider di servizi cloud per ulteriori obiettivi potenzialmente vulnerabili. Ciò che lo rende così pericoloso è che bastano poche ore da quando un server Docker configurato in modo errato è online per essere infettato.
Nel frattempo, poiché la blockchain di criptovaluta abusata dagli hacker è immutabile e decentralizzata, hanno aggiunto Fishbein e Kajiloti, il metodo è resistente alle rimozioni dell'infrastruttura e ai tentativi di filtraggio del dominio.
Gli hacker possono creare qualsiasi contenitore come parte dell'attacco ed eseguire codice dalla macchina host sfruttando un metodo di escape del contenitore. Ciò si basa sulla creazione di un nuovo container, che si ottiene pubblicando una richiesta API "create".
Ogni container si basa su un'immagine alpine con curl installato, che non è dannosa di per sé, ma viene utilizzata in modo improprio per eseguire l'attacco con i comandi curl, attivati non appena il container è attivo e funzionante.
Gli hacker abusano quindi del servizio Ngrok, che fornisce tunnel sicuri che si connettono tra i server locali e la rete Internet pubblica, per creare URL univoci di breve durata, utilizzandoli per scaricare i payload durante l'attacco passandoli all'immagine basata su curl.
"La campagna Ngrok Botnet è in corso da oltre due anni ed è piuttosto efficace, infettando qualsiasi server API Docker mal configurato nel giro di poche ore", hanno aggiunto Nicole Fishbein e Michael Kajiloti. "L'incorporazione del malware Doki, unico e non rilevato, indica che l'operazione è in continua evoluzione.
"Questo attacco è molto pericoloso perché l'attaccante utilizza tecniche di fuga dai container per ottenere il pieno controllo dell'infrastruttura della vittima. Le nostre prove mostrano che bastano poche ore da quando un nuovo server Docker configurato in modo errato è online per essere infettato da questa campagna".
I ricercatori hanno raccomandato che sia le aziende che gli individui che possiedono server container basati su cloud debbano correggere immediatamente le loro impostazioni di configurazione per prevenire l'esposizione alla minaccia. Questo processo include il controllo di eventuali porte esposte, la verifica dell'assenza di container estranei o sconosciuti tra i container esistenti e il monitoraggio dell'uso eccessivo delle risorse informatiche.
Blockchain
- Utilizzo della blockchain per proteggere l'"Internet delle cose"
- Vantaggi dell'utilizzo della criptovaluta
- Svantaggi dell'utilizzo delle criptovalute
- 5 aziende che utilizzano la blockchain per cambiare i viaggi
- Come acquistare Dogecoin in Canada?
- Dogecoin:una criptovaluta ispirata ai meme sta raggiungendo il suo picco
- Dieci paesi significativi che utilizzano di più la criptovaluta
- Le migliori banche interessate all'utilizzo della criptovaluta con Blockchain
- L'inventore di Dogecoin twitta "NO" al ritorno nel mondo delle criptovalute
- Pro e contro di investire in Dogecoin
-
Perché Mark Cuban ha appena comprato più Dogecoin?
Molti o tutti i prodotti qui provengono dai nostri partner che ci pagano una commissione. È così che guadagniamo. Ma la nostra integrità editoriale garantisce che le opinioni dei nostri esperti non si...
-
Shiba Inu può superare Dogecoin?
Molti o tutti i prodotti qui provengono dai nostri partner che ci pagano una commissione. È così che guadagniamo. Ma la nostra integrità editoriale garantisce che le opinioni dei nostri esperti non si...