Το OracleIV botnet malware χρησιμοποιεί διάφορες τακτικές, με κύρια εστίαση στην εκτέλεση επιθέσεων DDoS μέσω πλημμυρών που βασίζονται σε UDP και SSL.
Οι ερευνητές κυβερνοασφάλειας του Cado Security Labs αποκάλυψαν ένα νέο DDoS (Distributed Denial of Service) botnet malware με το όνομα OracleIV, που στοχεύει δημόσια εκτεθειμένα Docker Engine API instances.
Τα ευρήματα αποτελούν μέρος μιας έρευνας για μια κακόβουλη εκστρατεία που εκμεταλλεύεται εσφαλμένα configurations σε Docker containers για την παράδοση Python malware, που έχει μεταγλωττιστεί ως εκτελέσιμο αρχείο ELF.
Τώρα τελευταία, τα Docker Engine APIs έχουν γίνει συχνοί στόχοι κυβερνοεγκληματιών, καθώς η μέθοδος έχει αποκτήσει δημοφιλία λόγω της αυξανόμενης υιοθέτησης των αρχιτεκτονικών μικρουπηρεσιών. Οι χάκερ εκμεταλλεύονται την ακούσια εκθεση της προγραμματιστικής διεπαφής του Docker Engine, συχνά ανιχνεύοντας ευάλωτα περιβάλλοντα για την παράδοση κακόβουλων φορτίων με nefarious objectives.
Στην περίπτωση του νέου OracleIV DDoS botnet malware, οι επιτιθέμενοι ξεκινούν την πρόσβαση με ένα αίτημα HTTP POST προς το API του Docker, συγκεκριμένα το /images/create endpoint. Αυτό ενεργοποιεί μια εντολή docker pull, που ανακτά ένα συγκεκριμένο εικονίδιο από το Dockerhub. Μόλις ανακτηθεί η κακόβουλη εικόνα, ξεκινά η εκτέλεση ενός container για να επιτελέσει τους σκοπούς του επιτιθέμενου.
Οι ερευνητές της Cado Security ανακάλυψαν μια live Dockerhub page για μια εικόνα με το όνομα “oracleiv_latest” που ανέβηκε από τον χρήστη “robbertignacio328832. Η εικόνα, φαινομενικά αβλαβής ως “Mysql image for docker”, περιελάμβανε ένα κακόβουλο payload με το όνομα “oracle.sh”, ένα εκτελέσιμο ELF που λειτουργεί ως DDoS bot agent. Περαιτέρω ανάλυση αποκάλυψε πρόσθετες εντολές για την ανάκτηση του XMRig και ενός miner configuration file.
Η στατική ανάλυση του executable αποκάλυψε ένα 64-bit ELF που έχει μεταγλωττιστεί με το Cython, επιβεβαιώνοντας την προέλευση του κώδικα Python του κακόβουλου λογισμικού OracleIV. Ο κώδικας του κακόβουλου λογισμικού, σύντομος αλλά ισχυρός, περιλαμβάνει διάφορες λειτουργίες που αφορούν διάφορες μέθοδους DDoS.
Το bot συνδέεται σε έναν Command and Control server (C2), εκτελώντας βασικό authentication με ένα hardcoded password. Το Cado Security Labs παρακολούθησε τη δραστηριότητα του botnet, καταγράφοντας επιθέσεις DDoS σε διάφορους στόχους, χρησιμοποιώντας πλημμύρες που βασίζονται σε UDP και SSL.
Οι εντολές C2 για την έναρξη επιθέσεων DDoS ακολουθούν ένα συγκεκριμένο μορφότυπο, καθορίζοντας τον τύπο της επίθεσης, τον στόχο IP/domain, τη διάρκεια της επίθεσης, το ρυθμό και τη θύρα του στόχου.
Παρότι το OracleIV δεν αποτελεί επίθεση κατά της αλυσίδας εφοδιασμού, αποδεικνύει τον διαρκή κίνδυνο των εσφαλμένων ρυθμίσεων των Docker Engine API deployments. Η φορητότητα του containerization επιτρέπει στους χάκερ να εκτελούν κακόβουλα payload συνεχώς σε Docker hosts.
Αν και η Cado Security έχει αναφέρει τον κακόβουλο χρήστη στο Docker, οι χρήστες καλούνται να πραγματοποιούν περιοδικές αξιολογήσεις των εικόνων που έχουν γίνει pull από το Dockerhub, τονίζοντας την ανάγκη επαγρύπνησης έναντι κακόβουλου κώδικα.
Σε συμπέρασμα, η καμπάνια OracleIV τονίζει τη σημασία της ασφάλειας των διαδικτυακών υπηρεσιών και της εφαρμογής ισχυρών network defence. Οι χρήστες του Docker και παρόμοιων υπηρεσιών ενθαρρύνονται να ελέγχουν τακτικά την έκθεσή τους και να λαμβάνουν τις απαραίτητες προφυλάξεις ενάντια σε πιθανές κυβερνοαπειλές.
Πηγή πληροφοριών: hackread.com
