Las instancias públicas de la API de Docker Engine están siendo blanco de ataques por parte de actores malintencionados. Este asalto forma parte de una estrategia diseñada para reclutar estas máquinas en una botnet distribuida especializada en ataques de denegación de servicio (DDoS) llamada OracleIV.

“Los atacantes están explotando esta configuración errónea para entregar un contenedor Docker malicioso, creado a partir de una imagen llamada ‘oracleiv_latest’ y que contiene malware Python compilado como un ejecutable ELF”

Investigadores de Cado Security ; Nate Bill y Matt Muir .

La actividad maliciosa se desencadena cuando los atacantes emplean una solicitud HTTP POST a la API de Docker para recuperar una imagen maliciosa de Docker Hub. Esta imagen, a su vez, ejecuta un comando para obtener un script de shell (oracle.sh) desde un servidor de comando y control (C&C).

A pesar de presentarse como una imagen de MySQL para Docker, ‘Oracleiv_latest‘ ha sido descargada sorprendentemente 3500 veces hasta la fecha. En un giro tal vez no tan inesperado, la imagen también incluye instrucciones adicionales para buscar un minero XMRig y su configuración en el mismo servidor.

No obstante, la firma de seguridad en la nube indicó que no detectó pruebas de extracción de criptomonedas por parte del contenedor falso. En cuanto al script de shell, es conciso y presenta funciones integradas para llevar a cabo ataques DDoS, como slowloris, inundaciones SYN e inundaciones UDP.

Las instancias de Docker expuestas se han vuelto un blanco atractivo en los últimos años y a menudo son utilizadas como conductos para campañas de criptojacking.

“Una vez que se identifica un punto final válido, es fácil extraer una imagen maliciosa y lanzar un contenedor desde ella para llevar a cabo cualquier objetivo imaginable”, señalaron los investigadores. “El alojamiento del contenedor malicioso en Docker Hub, la biblioteca de imágenes de contenedores de Docker, agiliza aún más este proceso”.

La problemática no se limita a Docker, ya que los servidores MySQL vulnerables también están siendo atacados por otro malware de botnet DDoS conocido como Ddostf, según informes del Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC).

“Aunque muchos de los comandos que admite Ddostf son similares a los de los bots DDoS convencionales, una característica distintiva de Ddostf es su capacidad para conectarse a una dirección recién recibida del servidor C&C y ejecutar comandos allí durante un periodo específico”, explicó ASEC.

En el recién establecido servidor C&C, solo se permiten ejecutar comandos DDoS. Esto significa que el actor de amenazas detrás de Ddostf tiene la capacidad de infectar una gran cantidad de sistemas y luego comercializar ataques DDoS como un servicio.

Para complicar aún más la situación, han surgido varias nuevas botnets DDoS, como hailBot, kiraiBot y catDDoS, todas basadas en Mirai, cuyo código fuente se filtró en 2016.

Estos recientemente desarrollados caballos de Troya introducen novedosos algoritmos de cifrado para velar información crucial y perfeccionan su ocultamiento al modificar el proceso de inicio, además de diseñar métodos de comunicación más encubiertos, según reveló la empresa de ciberseguridad NSFOCUS el mes pasado.

Otro malware DDoS que ha resurgido este año es XorDdos, el cual infecta dispositivos Linux y los “transforma en zombis” para llevar a cabo posteriores ataques DDoS dirigidos a objetivos de interés.

La Unidad 42 de Palo Alto Networks informó que esta campaña comenzó a finales de julio de 2023 y alcanzó su punto máximo alrededor del 12 de agosto de 2023.

“Antes de que el malware se infiltrara con éxito en un dispositivo, los atacantes iniciaron un proceso de escaneo, utilizando solicitudes HTTP para identificar posibles vulnerabilidades en sus objetivos”, explicó la compañía. “Con el objetivo de evadir la detección, la amenaza convierte su proceso en un servicio en segundo plano que se ejecuta de manera independiente a la sesión actual del usuario”.

En conclusión, la campaña OracleIV destaca la importancia de proteger los servicios conectados a Internet e implementar fuertes defensas de red. Se anima a los usuarios de Docker y servicios similares a revisar periódicamente su exposición y tomar las precauciones necesarias contra posibles amenazas a la ciberseguridad.

fuente:thehackersnews