Malware 'Doki' ataca servidores Docker usando Dogecoin

O malware que permaneceu sem ser detectado por seis meses está explorando portas da API Docker mal configuradas para lançar cargas maliciosas, enquanto abusa da blockchain de criptomoeda Dogecoin no processo.

O malware, conhecido como 'Doki', tem como alvo ambientes em contêineres mal configurados hospedados no Azure, AWS e várias outras grandes plataformas de nuvem, de acordo com pesquisadores da Intezer, com invasores capazes de encontrar portas de API do Docker acessíveis publicamente e explorá-las para estabelecer suas recipientes próprios.

A Doki pode então instalar malware na infraestrutura direcionada com base no código recebido de seus operadores, gerando e excluindo contêineres durante o processo.

Doki serve como um backdoor Linux indetectável e representa uma evolução da campanha Ngrok Botnet de dois anos. De forma alarmante, ele também conseguiu escapar de todas as 60 plataformas de malware listadas no VirusTotal desde que foi analisado pela primeira vez em janeiro de 2020.

Essa cepa em particular é incomum no sentido de que abusa da blockchain da criptomoeda Dogecoin para atacar esses ambientes em contêineres. Os invasores usam um método bastante engenhoso para impedir que a infraestrutura do botnet seja removida, o que envolve alterar dinamicamente o domínio do servidor de comando e controle (C2) com base nas transações registradas em uma carteira Dogecoin.

O endereço de domínio C2, do qual o payload é enviado, muda com base na quantidade de Dogecoin na carteira a qualquer momento. Quando uma criptomoeda é adicionada ou removida da carteira, o sistema codifica a transação e cria um novo endereço exclusivo a partir do qual eles podem controlar o malware Doki.

Devido à natureza segura e descentralizada do Blockchain, essa infraestrutura não pode ser derrubada pela aplicação da lei, e novos endereços não podem ser antecipados por outros, pois apenas os invasores podem fazer transações em sua carteira Dogecoin.

“As ameaças do Linux estão se tornando mais comuns. Um fator que contribui para isso é a crescente mudança e dependência de ambientes de nuvem, que são principalmente baseados em infraestrutura Linux”, disseram os pesquisadores Nicole Fishbein e Michael Kajiloti. “Portanto, os invasores estão se adaptando de acordo com novas ferramentas e técnicas projetadas especificamente para essa infraestrutura”.

Historicamente, o Ngrok Botnet tem sido uma das ameaças mais prevalentes que abusam das portas da API Docker mal configuradas para executar malware, acrescentaram. Como parte do ataque, os hackers abusariam dos recursos de configuração do Docker para iludir as restrições do contêiner e executar várias cargas úteis do host.

Essas ameaças também implantam scanners de rede para identificar os intervalos de IP dos provedores de nuvem para alvos potencialmente vulneráveis ​​adicionais. O que o torna tão perigoso é que leva apenas algumas horas a partir do momento em que um servidor Docker mal configurado está online para ser infectado.

Enquanto isso, como o blockchain da criptomoeda que os hackers abusam é imutável e descentralizado, acrescentaram Fishbein e Kajiloti, o método é resistente a quedas de infraestrutura, bem como tentativas de filtragem de domínio.

Os hackers podem criar qualquer contêiner como parte do ataque e executar o código da máquina host explorando um método de escape do contêiner. Isso se baseia na criação de um novo contêiner, que é obtido postando uma solicitação de API 'criar'.

Cada container é baseado em uma imagem alpina com curl instalado, o que não é malicioso em si mesmo, mas é abusado para executar o ataque com comandos curl, ativados assim que o container estiver em funcionamento.

Os hackers então abusam do serviço Ngrok, que fornece túneis seguros conectando servidores locais e a Internet pública, para criar URLs exclusivos com uma vida útil curta, usando-os para baixar cargas durante o ataque, passando-as para a imagem baseada em curl.

“A campanha Ngrok Botnet está em andamento há mais de dois anos e é bastante eficaz, infectando qualquer servidor de API Docker mal configurado em questão de horas”, acrescentaram Nicole Fishbein e Michael Kajiloti. “A incorporação do malware exclusivo e não detectado Doki indica que a operação continua a evoluir.

“Esse ataque é muito perigoso devido ao fato de o invasor usar técnicas de fuga de contêiner para obter controle total da infraestrutura da vítima. Nossas evidências mostram que leva apenas algumas horas desde que um novo servidor Docker configurado incorretamente esteja online para ser infectado por esta campanha.”

Os pesquisadores recomendaram que empresas e indivíduos que possuem servidores de contêiner baseados em nuvem corrijam imediatamente suas configurações para evitar a exposição à ameaça. Esse processo inclui a verificação de portas expostas, a verificação de que não há contêineres estranhos ou desconhecidos entre os contêineres existentes e o monitoramento do uso excessivo de recursos de computação.