Новая вредоносная программа атакует незащищённые Docker API для создания ботнета

Первоначально данное вредоносное ПО было обнаружено и описано в июне 2025 года экспертами по угрозам из Trend Micro. Версия, найденная ими, запускала криптомайнер (программу для майнинга криптовалюты), скрывая его активность за доменом в сети Tor. Однако вариант, который изучила команда Akamai Hunt, демонстрирует другую тактику начального доступа - он блокирует возможность подключения к Docker API из интернета для всех других злоумышленников.

Исполняемый файл также отличается: вариант, обнаруженный Akamai Hunt, не устанавливает криптомайнер, вместо этого он размещает файл, содержащий другие ранее использовавшиеся инструменты, а также механизмы заражения, выходящие за рамки возможностей исходного образца. Это указывает на возможную цель создания сложного ботнета.

Атака начинается с нацеливания на неправильно сконфигурированные удалённые Docker API, что позволяет злоумышленникам выполнить новый контейнер на базе образа alpine и подключить файловую систему хоста к нему. Затем выполняется полезная нагрузка, закодированная в Base64, которая загружает вредоносный сценарий оболочки с сервера в доменной зоне .onion. Этот скрипт изменяет конфигурации SSH на хосте для обеспечения устойчивости присутствия.

Скачивающий модуль также устанавливает различные инструменты, включая masscan и torsocks, и передаёт системную информацию на управляющий сервер злоумышленника через сеть Tor. Анализ скрипта docker-init.sh показал, что он выполняет множество шагов по обеспечению устойчивости и уклонению от обнаружения, в том числе блокирует будущий доступ к экспонированному экземпляру, что ранее не наблюдалось в других вариантах.

Одной из ключевых тактик является попытка монополизировать доступ к скомпрометированной системе. Злоумышленники добавляют в планировщик заданий cron задание, которое выполняется каждую минуту и блокирует доступ к порту 2375 (Docker API) с помощью различных инструментов управления брандмауэром. Это тактика превосходства: attacker (злоумышленник) блокирует жертву для своего эксклюзивного использования, лишая других атакующих будущего доступа к незащищённому экземпляру.

После установки связи с управляющим сервером скрипт загружает сжатый двоичный файл с другой службы Tor. Первый загружаемый файл является дроппером (программой-установщиком), написанным на Go, который содержит контент для размещения, чтобы избежать необходимости выхода в интернет. Интересной деталью является наличие эмози в коде, что может указывать на его создание с помощью большой языковой модели.

Размещаемый файл выполняет массовое сканирование портов с помощью masscan в поисках других открытых портов 2375 (сервисы Docker API). При обнаружении такого порта программа пытается заразить систему тем же методом - созданием контейнера с командами, закодированными в Base64. Помимо порта 2375, вредоносная программа также включает проверки для портов 23 (Telnet) и 9222 (порт удалённой отладки для браузеров Chromium), что может свидетельствовать о планах на будущее расширение функциональности.

Для порта 23 вредоносное ПО использует набор известных учётных данных по умолчанию для маршрутизаторов и устройств. При успешном входе оно отправляет собранные учётные данные на внешний endpoint. Для порта 9222 программа использует библиотеку chromedp для взаимодействия с браузерами Chrome или Chromium. Хотя в текущей версии её функциональность ограничена, теоретически злоумышленники могут использовать такой доступ для кражи конфиденциальных данных, таких как файлы cookie, или для выполнения распределённых атак типа «отказ в обслуживании» (DDoS).

Обнаруженный вариант, по всей видимости, является начальной версией сложного ботнета, однако полная его версия пока не найдена. Для выявления подобных угроз специалисты рекомендуют проверять вновь развёрнутые контейнеры, которые выполняют установщик, а затем загрузчик, отслеживать новые подключения из интернета к портам 2375, 9222 или 23, а также контролировать выполнение команд, закодированных в Base64.

Меры по предотвращению и снижению ущерба включают сегментацию сети для изоляции среды Docker, минимизацию количества служб, экспонированных в интернет, настройку порта удалённой отладки Chrome для прослушивания только определённых IP-адресов и обязательную смену паролей по умолчанию при установке новых устройств. Обнаружение этой новой вредоносной программы подчёркивает важность постоянной работы исследовательского сообщества для помощи защитникам.

URLs

• webhook.site/4fea5cbb-8863-4f25-862a-fd8f02095207

Onion Domains

• 2hdv5kven4m422wx4dmqabotumkeisrstzkzaotvuhwx3aebdig573qd.onion
• wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad.onion

SHA256

• 649974453ed40b72d08d378d72d43161ed5bd093a4f80eb5285f75e16fedbeb2
• 9451d3dc4b0ff9ea6afa503ffbfcd877944cac0860d6a0b8779c2bb5d03d3446
• C38e013ed9aa1ef46411bef9605f7a41823f3eefebb8b30b9e35f39723c14d7c