Mã độc Linux nguy hiểm tấn công máy chủ Docker qua các API bị lộ
Mới đây các nhà nghiên cứu an ninh mạng đã tiết lộ về một loại mã độc Linux nguy hiểm , có khả năng qua mắt được toàn bộ các công cụ diệt mã độc hàng đầu. Được biết nó đã sử dụng các kỹ thuật chưa từng được biết tới trước đây để tránh bị phát hiện và nhắm mục tiêu tới các máy chủ Docker lưu trữ trên các nền tảng đám mây phổ biến như AWS, Azure và Alibaba Cloud.
Docker là một nền tảng dịch vụ PaaS phổ biến dành cho Linux và Windows. Nó được thiết kế để giúp các nhà phát triển dễ dàng tạo, kiểm tra và chạy các ứng dụng của họ trong một môi trường tách biệt được gọi là container.
Theo nghiên cứu mới nhất mà Intezer chia sẻ với The Hacker News, một chiến dịch botnet đào tiền ảo qua công cụ Ngrok ( Ngrok Mining Botnet ) đang tích cực quét internet để tìm ra các Docker API endpoint có cấu hình sai. Và tính đến thời điểm hiện tại thì chiến dịch mới này đã thực hiện lây nhiễm trên nhiều máy chủ khác nhau.
Mặc dù Ngrok Mining Botnet đã hoạt động trong suốt hai năm qua, nhưng chiến dịch mới này được phát hiện chỉ tập trung chủ yếu vào việc chiếm quyền kiểm soát các máy chủ Docker có cấu hình sai và khai thác chúng để thiết lập các container độc hại có chứa các phần mềm đào tiền điện tử chạy trái phép trên cơ sở hạ tầng của nạn nhân.
Được đặt tên là ‘Doki ‘, mã độc đa luồng mới này đã lợi dụng “một phương thức tấn công mới để liên hệ với kẻ điều khiển đứng sau nó bằng cách lạm dụng blockchain của Dogecoin theo một cách đặc biệt để có thể liên tục tạo địa chỉ tên miền C2 bất chấp việc mẫu mã độc của nó đã được cập nhật công khai trên công cụ quét mã độc VirusTotal.”
Theo các nhà nghiên cứu, mã độc này:
đã được thiết kế để thực thi các lệnh nhận được từ kẻ điều khiển từ xa,
sử dụng một Dogecoin Explorer để tạo tên miền C2 theo thời gian thực một cách liên tục,
sử dụng embedTLS library cho các chức năng mã hóa và giao tiếp mạng,
tạo các URL đặc biệt với thời gian tồn tại ngắn và sử dụng chúng để tải các payload trong suốt cuộc tấn công.
“Mã độc này tận dụng dịch vụ DynDNS và một thuật toán tạo tên miền đặc biệt (DGA) dựa trên blockchain của Dogecoin để tìm tên miền C2 của nó trong thời gian thực.”
Bên cạnh đó, những kẻ tấn công đằng sau chiến dịch mới này cũng đã tìm được cách xâm nhập vào các máy chủ bằng cách liên kết các container mới tạo với thư mục gốc (root directory) của máy chủ. Điều này sẽ cho phép chúng có thể tùy ý truy cập hoặc sửa đổi bất kỳ file nào trên hệ thống.
“Bằng cách sử dụng cấu hình liên kết, kẻ tấn công có thể kiểm soát tiện ích cron của máy chủ. Chúng sẽ thực hiện sửa đổi cron của máy chủ để có thể thực thi payload đã được tải xuống một cách liên tục.”
“Đây là một cuộc tấn công vô cùng nguy hiểm bởi thực tế kẻ tấn công đã sử dụng các kỹ thuật container escape để giành quyền kiểm soát toàn bộ cơ sở hạ tầng của nạn nhân.”
Sau khi chiếm được quyền điều khiển, mã độc này còn lợi dụng các hệ thống bị xâm nhập để mở rộng việc quét mạng và tìm các cổng (port) được liên kết với Redis, Docker, SSH và HTTP bằng cách sử dụng các công cụ quét như zmap, zgrap hay jq.
Mặc dù đã được tải lên VirusTotal vào ngày 14 tháng 1 năm 2020 và liên tục được quét nhiều lần kể từ đó, nhưng Doki vẫn không bị phát hiện trong khoảng hơn sáu tháng. Đáng ngạc nhiên hơn là, cho đến thời điểm hiện tại, nó vẫn không bị phát hiện bởi bất cứ một trong số 61 công cụ phát hiện mã độc hàng đầu nào.
Docker – phần mềm container nổi bật nhất hiện nay đã bị tấn công hai lần chỉ trong vòng một tháng. Vào cuối tháng trước, kẻ tấn công đã bị phát hiện đang nhắm mục tiêu các API endpoint bị lộ của Docker và phát tán các image độc hại để thực thi các cuộc tấn công DDoS và cho chạy trái phép phần mềm đào tiền ảo .
Các cá nhân và tổ chức đang sử dụng Docker được khuyến cáo không nên tiết lộ công khai API của Docker trên Internet. Tuy nhiên, nếu cần trong các trường hợp đặc biệt thì bạn nên đảm bảo nó chỉ có thể truy cập từ một mạng hoặc một VPN đáng tin cậy, và hãy chỉ để những người dùng đáng tin có quyền kiểm soát Docker daemon của bạn.
Nếu bạn quản lý Docker từ một máy chủ web để cung cấp các container thông qua API, bạn còn nên cẩn trọng hơn nữa trong việc kiểm tra tham số để đảm bảo kẻ tấn công không thể vượt qua các tham số thủ công và khiến Docker tạo ra các container tùy ý.
Tham khảo một số phương pháp bảo mật Docker tốt nhất tại đây .
Theo The Hacker News
The post Mã độc Linux nguy hiểm tấn công máy chủ Docker qua các API bị lộ appeared first on SecurityDaily .
Related News
Top News
-
![]()
Phát tán mã độc qua các trang Facebook giả mạo với sự hỗ trợ của các công cụ AITin tặc đang lợi dụng các công cụ quảng cáo và các trang bị chiếm quyền để phát tán mã độc đánh cắp mật khẩu trên Facebook. Các chiến dịch này...
-
![]()
Kẻ tấn công nhắm vào nhân viên bằng cuộc gọi CEO giả mạo bằng công nghệ deepfakeLastPass tiết lộ trong tuần này rằng các đối tượng tấn công đã nhắm vào một trong những nhân viên của họ trong một cuộc tấn công giả mạo bằng...
-
![]()
Cảnh giác với phần mềm độc hại mới giả Google Chrome để lừa đánh cắp thông tinNgoài cảnh báo 5 thủ đoạn lừa đảo trực tuyến, tuần này Cục An toàn thông tin (Bộ TT&TT) cũng khuyến cáo người dân cảnh giác với phần mềm...
-
![]()
576.000 tài khoản Roku bị tấn công bằng cách nhồi thông tin xác thựcRoku vừa đưa ra cảnh báo về việc 576.000 tài khoản người dùng của họ đã bị hack thông qua phương thức nhồi thông tin xác thực (credential...
-
![]()
Microsoft Warns: North Korean Hackers Turn to AI-Fueled Cyber EspionageMicrosoft has revealed that North Korea-linked state-sponsored cyber actors has begun to use artificial intelligence (AI) to make its operations...
-
![]()
Ưu tiên nguồn lực giám sát 24/7 các hệ thống thông tin dịp nghỉ lễ 30/4 - 1/5Để duy trì hoạt động ổn định của các hệ thống thông tin dịp lễ 30/4 - 1/5 và 70 năm chiến thắng Điện Biên Phủ, Bộ TT&TT đề nghị các đơn...