Le malware 'Doki' attaque les serveurs Docker en utilisant Dogecoin

Les logiciels malveillants qui sont restés non détectés pendant six mois exploitent des ports d'API Docker mal configurés pour lancer des charges utiles malveillantes, tout en abusant de la blockchain de crypto-monnaie Dogecoin dans le processus.

Le logiciel malveillant, connu sous le nom de « Doki », cible des environnements conteneurisés mal configurés hébergés sur Azure, AWS et un certain nombre d'autres plates-formes cloud majeures, selon les chercheurs d'Intezer, avec des attaquants capables de trouver des ports d'API Docker accessibles au public et de les exploiter pour établir leur propres conteneurs.

Doki est alors en mesure d'installer des logiciels malveillants sur une infrastructure ciblée en fonction du code reçu de ses opérateurs, en créant et en supprimant des conteneurs au cours du processus.

Doki sert de porte dérobée Linux indétectable et représente une évolution de la campagne Ngrok Botnet vieille de deux ans. Fait alarmant, il a également réussi à échapper à chacune des 60 plates-formes de logiciels malveillants répertoriées sur VirusTotal depuis sa première analyse en janvier 2020.

Cette souche particulière est inhabituelle dans le sens où elle abuse de la blockchain de crypto-monnaie Dogecoin afin d'attaquer ces environnements conteneurisés. Les attaquants utilisent une méthode assez ingénieuse pour empêcher la désactivation de l'infrastructure du botnet, qui consiste à modifier dynamiquement le domaine du serveur de commande et de contrôle (C2) en fonction des transactions enregistrées sur un portefeuille Dogecoin.

L'adresse de domaine C2, à partir de laquelle la charge utile est envoyée, change en fonction du montant de Dogecoin dans le portefeuille à un moment donné. Lorsqu'une crypto-monnaie est ajoutée ou supprimée du portefeuille, le système encode la transaction et crée une nouvelle adresse unique à partir de laquelle ils peuvent contrôler le malware Doki.

En raison de la nature sécurisée et décentralisée de Blockchain, cette infrastructure ne peut pas être supprimée par les forces de l'ordre, et les nouvelles adresses ne peuvent pas être préemptées par d'autres car seuls les attaquants peuvent effectuer des transactions sur leur portefeuille Dogecoin.

« Les menaces Linux sont de plus en plus courantes. Un facteur contributif à cela est le changement et la dépendance croissants envers les environnements cloud, qui sont principalement basés sur une infrastructure Linux », ont déclaré les chercheurs Nicole Fishbein et Michael Kajiloti. "Par conséquent, les attaquants se sont adaptés en conséquence avec de nouveaux outils et techniques conçus spécifiquement pour cette infrastructure."

Historiquement, le Ngrok Botnet a été l'une des menaces les plus répandues abusant des ports API Docker mal configurés de manière à exécuter des logiciels malveillants, ont-ils ajouté. Dans le cadre de l'attaque, les pirates abuseraient des fonctionnalités de configuration de Docker pour échapper aux restrictions de conteneur et exécuter diverses charges utiles à partir de l'hôte.

Ces menaces déploient également des analyseurs de réseau pour identifier les plages d'adresses IP des fournisseurs de cloud pour d'autres cibles potentiellement vulnérables. Ce qui le rend si dangereux, c'est qu'il ne faut que quelques heures à partir du moment où un serveur Docker mal configuré est en ligne pour être infecté.

Pendant ce temps, comme la blockchain de crypto-monnaie dont les pirates abusent est immuable et décentralisée, ont ajouté Fishbein et Kajiloti, la méthode résiste aux démontages d'infrastructure ainsi qu'aux tentatives de filtrage de domaine.

Les pirates peuvent créer n'importe quel conteneur dans le cadre de l'attaque et exécuter du code à partir de la machine hôte en exploitant une méthode d'échappement de conteneur. Ceci est basé sur la création d'un nouveau conteneur, qui est réalisé en publiant une demande d'API "créer".

Chaque conteneur est basé sur une image alpine avec curl installé, qui n'est pas malveillant en soi, il est plutôt abusé pour exécuter l'attaque avec des commandes curl, activées dès que le conteneur est opérationnel.

Les pirates abusent ensuite du service Ngrok, qui fournit des tunnels sécurisés se connectant entre les serveurs locaux et l'Internet public, pour créer des URL uniques avec une courte durée de vie, en les utilisant pour télécharger des charges utiles pendant l'attaque en les transmettant à l'image basée sur curl.

"La campagne Ngrok Botnet est en cours depuis plus de deux ans et est plutôt efficace, infectant tout serveur d'API Docker mal configuré en quelques heures", ont ajouté Nicole Fishbein et Michael Kajiloti. "L'incorporation du malware Doki unique et non détecté indique que l'opération continue d'évoluer.

"Cette attaque est très dangereuse car l'attaquant utilise des techniques d'évasion de conteneurs pour prendre le contrôle total de l'infrastructure de la victime. Nos preuves montrent qu'il ne faut que quelques heures à partir du moment où un nouveau serveur Docker mal configuré est en ligne pour être infecté par cette campagne."

Les chercheurs ont recommandé aux entreprises et aux particuliers qui possèdent des serveurs de conteneurs basés sur le cloud de corriger immédiatement leurs paramètres de configuration pour éviter toute exposition à la menace. Ce processus comprend la vérification de tous les ports exposés, la vérification de l'absence de conteneurs étrangers ou inconnus parmi les conteneurs existants et la surveillance de l'utilisation excessive des ressources informatiques.