Эксперты по кибербезопасности из Cado Security Labs (ныне в составе Darktrace) обнаружили новую вредоносную кампанию, нацеленную на публично доступные экземпляры Docker Engine API. Атака, получившая название OracleIV, использует уязвимые конфигурации для развёртывания контейнера с ботнетом, специализирующимся на организации распределённых атак типа «отказ в обслуживании» (DDoS).
Описание
Злоумышленники эксплуатируют ошибки в настройках для доставки вредоносного контейнера Docker, собранного из образа с именем «oracleiv_latest». Внутри контейнера находится скомпилированный в формат ELF исполняемый файл, написанный на Python, который функционирует как агент ботнета. Этот агент способен проводить различные типы DoS-атак, получая команды от управляющего сервера (C2).
В последние годы участились случаи использования открытого Docker Engine API для доставки криптоджекингового вредоносного программного обеспечения. Непреднамеренное раскрытие этого API происходит достаточно часто, чтобы стать лакомой целью для автоматического сканирования и последующей эксплуатации.
Доступ к системе начинается с HTTP POST-запроса к эндпоинту /images/create API Docker, что эквивалентно выполнению команды docker pull на хосте. После успешной загрузки образа злоумышленники запускают контейнер. В данном случае используется образ robbertignacio328832/oracleiv_latest, загруженный в Docker Hub. На момент обнаружения образ оставался активным и был скачан более 3000 раз. Для маскировки автор добавил описание «Mysql image for docker».
Анализ слоёв образа показал, что в него встроены команды для загрузки вредоносной нагрузки - файла oracle.sh (несмотря на название, это ELF-исполняемый файл) - а также копии майнера XMRig и файла конфигурации. Хотя майнинговая активность не была зафиксирована, возможность ее проведения сохраняется.
Статический анализ oracle.sh выявил, что это 64-битный статически скомпонованный ELF-файл, собранный с помощью Cython. Основной функционал кода сосредоточен вокруг различных методов DDoS-атак, включая UDP-флуд, SSL-флуд, медленные атаки (slowloris) и целенаправленные флуды против игровых серверов (FiveM, Valve Source Engine) и хостинга OVH.
При запуске бот подключается к C2-серверу по адресу 46.166.185[.]231 на порт 40320, проходит примитивную аутентификацию с использованием хардкод-пароля «n3tg34rp0wn3d» и ожидает команд. Управление атаками осуществляется через текстовые команды вида <тип атаки> <цель> <время> <интенсивность> <порт>.
Не все заявленные функции работают корректно: например, методы UDP_PPS и HTTPGET оказались неработоспособными. Тем не менее, ботнет уже используется в реальных атаках, предпочтительно через UDP- и SSL-флуды.
OracleIV наглядно демонстрирует, что злоумышленники продолжают активно использовать неправильно сконфигурированные Docker-системы для развёртывания вредоносных нагрузок. Portable-природа контейнеров позволяет запускать код детерминированно на разных хостах, минуя особенности их настройки.
Хотя эту кампанию нельзя назвать атакой на цепочку поставок, её возникновение underscores необходимость тщательного контроля за образами, скачиваемыми из публичных репозиториев. Эксперты рекомендуют регулярно проводить аудит используемых контейнеров, ограничивать доступ к Docker API только доверенным сетям и использовать средства сетевой защиты.
Cado Security Labs уведомили Docker о злонамеренном образе, однако пользователям следует самостоятельно принимать меры для защиты своих инфраструктур. Как и в случае с другими сервисами (Jupyter, Redis), критически важно минимизировать их exposure в интернете и соблюдать принципы минимальных привилегий.
Индикаторы компрометации
IPv4
- 46.166.185.231
SHA256
- 20a0864cb7dac55c184bd86e45a6e0acbd4bb19aa29840b824d369de710b6152
- 5a76c55342173cbce7d1638caf29ff0cfa5a9b2253db9853e881b129fded59fb
- 776c6ef3e9e74719948bdc15067f3ea77a0a1eb52319ca1678d871d280ab395c
