Enhver enhet som er koblet til nettverket kan lide cyberangrep. Vi snakker om datamaskiner, mobile enheter, servere… I dag gir vi ekko Dokker , en malware som påvirker Linux servere som er dårlig konfigurert. Det er en del av Ngrok Cryptominer Botnet-kampanjen, som har vært aktiv siden 2018. Et nytt problem som blir med alle truslene som påvirker denne typen system.
Doki, en trussel til mot Linux-servere
Som vi sier, Dokker er en malware som setter Linux-servere i sjakk. Konkret fokuserer de på skybaserte og dårlig konfigurerte Dockers. På denne måten klarer hackere å henrette truslene sine.
Et av aspektene som gjør Doki spesielt interessant er det dynamisk oppførsel angående hvordan den kobles til kommando- og kontrollinfrastrukturen. Den stoler ikke på et bestemt domene eller skadelig IP-basseng, men bruker i stedet dynamisk DNS tjenester som DynDNS. Dette, kombinert med en unik blockchain-basert domenegenereringsalgoritme, kan generere og finne adressen til en C2-server i sanntid.
Husk at det er en skadelig programvare med veldig stealthy atferd. Faktisk er den ikke blitt oppdaget på mer enn seks måneder, til tross for at den ble sendt i januar i fjor til VirusTotal-analysemotoren.
Få antivirus oppdager trusselen
Per i dag, iht VirusTotal bare seks antivirusmotorer er i stand til å oppdage denne trusselen. For å utføre angrepene sporer de stadig Dockers i skyen med internettilgang. Så langt har Shodan avslørt mer enn 2,400 av denne typen som kjører Linux på Amazon AWS-infrastrukturen.
Husk nå at ikke alle disse skybeholderne kommer til å være sårbare. Imidlertid er de et eksempel på de som kan utnyttes av hackere hvis de var det.
Når de identifiserer seg offentlig tilgjengelig Docker-porter , angripere begynner å generere skyforekomstene sine i disse miljøene, og sletter noen ganger eksisterende.
Ifølge sikkerhetsforskere er fordelen ved å bruke et offentlig tilgjengelig bilde at angriperen ikke trenger å skjule det i Docker Hub eller andre vertsløsninger. I stedet kan angripere bruke et eksisterende bilde og kjøre skadelig programvare på det.
De bruker tredjeparts tjenester for å kjøre nyttelasten, som vi har nevnt. Det er en del av Ngrok Cryptominer Botnet-kampanjen.
Kort sagt, dette malware kalt Doki kan sette feil konfigurerte Linux-servere i fare. Det er alltid veldig viktig å ha all nødvendig konfigurasjon for å beskytte systemene våre og unngå å etterlate utstyret. I tillegg vil det også være viktig at de blir oppdatert riktig. I mange tilfeller oppstår det sårbarheter som kan utnyttes av cyberkriminelle, og vi kan unngå dette med lapper.