Doki: новое вредоносное ПО, влияющее на серверы Linux

Любое устройство, подключенное к сети, может подвергнуться кибератакам. Мы говорим о компьютерах, мобильных устройствах, серверах… Сегодня мы повторяем Doki , вредоносная программа, которая влияет Linux серверы которые плохо настроены. Это часть кампании Ngrok Cryptominer Botnet, которая была активна с 2018 года. Новая проблема, объединяющая все угрозы, которые влияют на этот тип системы.

Доки, еще одна угроза для серверов Linux

Как мы говорим, Doki это вредоносная программа, которая проверяет серверы Linux В частности, они ориентированы на облачные и плохо настроенные докеры. Таким образом, хакерам удается выполнить свои угрозы.

Doki: новое вредоносное ПО, влияющее на серверы Linux

Одним из аспектов, который делает Doki особенно интересным, является его динамическое поведение относительно того, как он подключается к своей инфраструктуре управления и контроля. Он не доверяет определенному домену или пулу вредоносных IP-адресов, а вместо этого использует динамические DNS такие сервисы, как DynDNS. Это, в сочетании с уникальным алгоритмом генерации домена на основе блокчейна, может генерировать и определять местонахождение адреса C2-сервера в реальном времени.

Имейте в виду, что это вредоносная программа с очень скрытным поведением. Фактически, он не был обнаружен в течение более шести месяцев, несмотря на то, что он был отправлен в январе прошлого года в механизм анализа вредоносных программ VirusTotal.

Mozi, una nueva amenaza en formma de malware

Немногие антивирусы обнаруживают угрозу

На сегодняшний день, согласно VirusTotal Только шесть антивирусных движков способны обнаружить эту угрозу. Для проведения атак они постоянно отслеживают докеров в облаке с доступом в интернет. На данный момент Shodan обнаружил более 2,400 таких типов под управлением Linux в инфраструктуре Amazon AWS.

Имейте в виду, что не все эти облачные контейнеры будут уязвимы. Однако они являются примером тех, которые могут быть использованы хакерами, если они были.

Как только они идентифицируют общедоступные Порты докера Злоумышленники начинают генерировать свои облачные экземпляры в этих средах, а иногда и удаляют существующие.

По мнению исследователей безопасности, преимущество использования общедоступного образа заключается в том, что злоумышленнику не нужно скрывать его в Docker Hub или других хостинговых решениях. Вместо этого злоумышленники могут использовать существующее изображение и запускать на нем вредоносное ПО.

Как мы уже упоминали, они используют сторонние сервисы для запуска полезной нагрузки. Это часть кампании Ngrok Cryptominer Botnet.

Короче говоря, это вредоносная программа под названием Doki может подвергнуть риску неправильно настроенные серверы Linux. Всегда очень важно иметь всю необходимую конфигурацию, чтобы защитить наши системы и не оставлять оборудование открытым. Кроме того, также важно, чтобы они обновлялись правильно. Во многих случаях возникают уязвимости, которые могут быть использованы киберпреступниками, и мы можем избежать этого с помощью исправлений.