Ботнет OracleIV использует общедоступные API Docker Engine для захвата контейнеров

Стоит ли нам ожидать масштабных отключений устройств?


sxq8eqgn6mahl3687fjuenfq26oecwj4.jpg


В последнее время всё чаще стали фиксироваться атаки на общедоступные экземпляры API Docker Engine, которые злоумышленники используют для превращения машин в ботнеты для DDoS -атак. Основная цель таких атак – расширение ботнета под названием OracleIV.

Компания Cado Security сообщает, что киберпреступники эксплуатируют уязвимости в настройках, чтобы доставить вредоносный контейнер Docker, созданный из образа под названием «oracleiv_latest». Контейнер содержит вредоносное ПО на Python , скомпилированное в виде исполняемого файла ELF.

Атака начинается с того, что злоумышленники отправляют HTTP POST -запрос к API Docker для извлечения вредоносного образа с Docker Hub, который образ, в свою очередь, запускает команду для получения скрипта (oracle.sh) с сервера управления и контроля (Command and Control, C2 ).

Образ «oracleiv_latest», представленный как образ MySQL для Docker, был загружен более 3 500 раз. Кроме того, он содержит дополнительные инструкции для загрузки майнера XMRig и его конфигурации с того же сервера. Однако, по данным Cado, доказательств майнинга криптовалюты не обнаружено. Вместо майнинга скрипт содержит функции для проведения DDoS-атак типа slowloris, SYN-флуды и UDP-флуды.