Исследователи Trend Micro Research заметили, что злоумышленники используют неправильно настроенные серверы Docker Remote API для развертывания вредоносной программы Gafgyt, что свидетельствует об отходе от ее традиционной направленности на IoT-устройства.
Gafgyt Botnet
Злоумышленники создают Docker-контейнер с использованием легитимного образа «alpine» для развертывания вредоносной программы ботнета Gafgyt, которая затем может осуществлять DDoS-атаки по различным протоколам, таким как UDP, TCP и HTTP. Атака заключается в загрузке бинарного файла ботнета Gafgyt с жестко заданным IP-адресом командно-контрольного (C&C) сервера и его выполнении внутри контейнера. Если первоначальное развертывание не удается, злоумышленники пытаются развернуть другой вариант двоичного файла Gafgyt или сценарий оболочки, который загружает и выполняет двоичные файлы ботнета для различных архитектур системы.
Злоумышленники используют команду «chroot» для изменения корневого каталога контейнера, что позволяет им получить доступ к файловой системе хоста и потенциально изменить ее, что может привести к повышению привилегий и контроля над хост-системой. Вредоносная программа связывается с C&C-сервером и, основываясь на ответах сервера, выполняет такие действия, как проведение DDoS-атак. Злоумышленники также пытаются узнать локальный IP-адрес хоста-жертвы с помощью DNS-сервера Google.
Indicators of Compromise
IPv4
- 178.215.238.24
- 178.215.238.31
URLs
- http://178.215.238.24/rbot
- http://178.215.238.31/atlas.i586
- http://178.215.238.31/bins/atlas.arm4
- http://178.215.238.31/bins/atlas.arm5
- http://178.215.238.31/bins/atlas.arm6
- http://178.215.238.31/bins/atlas.arm7
- http://178.215.238.31/bins/atlas.i586
- http://178.215.238.31/bins/atlas.i686
- http://178.215.238.31/bins/atlas.m68k
- http://178.215.238.31/bins/atlas.mips
- http://178.215.238.31/bins/atlas.mipsel
- http://178.215.238.31/bins/atlas.sh4
- http://178.215.238.31/cve.sh
SHA256
- 0b7e14e3305fd25b250ad494c014b0f8dfefaf0f3e8413bd797db12dd2eb9d8c
- 156c85a09a1d5d753ce3fd128e0bb6097bb5b18e6cc0ffe6f9bc99a218a21ed9
- 19778568781fd397ee2415d0a3593ffcaff4f333cdc27e52a1b23e07de08fdb6
- 36ee47d10acbf8fbc7b16d4d237e2be567491b95dcd333856268c6c63a02f358
- 68c215494fd35e097bf76eb3886b95ec66fdc707ebcf10f221b4db4ac2cd6d70
- 6b385dc32daff689c1c448bf5f9151996abbac730e167a9cbfa9111591f253ea
- a79a9653209c9d942dee0be597e04845fc5250880edcc5c3cb50110153925a03
- b7f0ac1551ab58a1b84ba8e63dfc98dd126f7abe686137cbffc8ff95bfbac1ba
- bb2bd8819045055af5295c23d1293b2d215fabe7dcf097813b9624ab98a13976
- c1c03eab6bbca461f4a9dc7395103cdb0aa018563e835150c66228f3d7edadaa
- ed6c93faebd9a60e132f4f952a1b516e758ce0e445b225eb702dfd2c8c2db6c0
- f7004355f2bf653d3f055bc674822f99a8ff3692a02c1aec6b727a782e37b836
- f8388cba15175fa7fda8daacfd095972e1a96faaabeede411f99f42f71ae395b