安全研究人员发现了一个新的网络威胁,目标是公开暴露的Docker引擎API实例。
在这个活动中,攻击者利用错误配置来部署一个恶意Docker容器,其中包含编译为ELF可执行文件的Python恶意软件。该恶意工具作为分布式拒绝服务(DDoS) bot代理,展示了各种攻击方法来进行DoS攻击。
根据Cado安全实验室周一发布的一份报告,Docker引擎API(之前的一个目标入口点)在发起此类攻击方面越来越受欢迎,通常与加密劫持恶意软件的交付有关。无意中暴露Docker引擎API的情况经常发生。这会提示多个不相关的活动扫描潜在的漏洞。
安全专家发现的新活动涉及攻击者通过HTTP POST请求对Docker的API发起访问,从而从Dockerhub检索恶意Docker容器。攻击者使用Docker Hub用户来托管一个特定的容器,该容器被设计成无害的,作为Docker的MySQL映像。
对恶意软件的ELF可执行文件的静态分析揭示了一个64位的静态链接ELF,其中包含完整的调试信息,表明Python代码是用Cython编译的。代码相对较短,主要关注各种DoS方法,包括基于SSL、基于UDP和Slowloris风格的攻击。
机器人连接到命令与控制(C2)服务器,使用硬编码的密码进行身份验证。Cado安全实验室监控了僵尸网络活动,目睹了使用基于UDP和SSL的洪水进行DDoS攻击。C2命令指示僵尸网络针对特定的IP地址或域,确定攻击持续时间、速率和端口。
尽管没有观察到实际的挖矿活动,但研究人员警告说,恶意容器中包含可以促进此类行为的文件。
此外,虽然OracleIV没有被归类为供应链攻击,但Docker Hub用户被敦促保持警惕,定期评估提取的图像并实施网络防御。
Cado安全实验室向Docker报告了OracleIV背后的恶意用户,强调了Docker库中恶意容器映像的持续存在。鼓励用户积极主动地降低与错误配置的面向互联网的服务相关的风险。