Su questa pagina: [nascondere]
I ricercatori della sicurezza hanno scoperto che il malware Doki viene attivamente utilizzato dai gruppi di hacking per infettare i server Docker. Tutte le famose società di web hosting e le reti aziendali sono oggetto degli attacchi in corso. Uno dei motivi per cui questo attacco è considerato particolarmente pericoloso è il fatto che più botnet sono state utilizzate per distribuirlo.
I server Docker sono attaccati dal malware Doki!
I server Docker vengono attaccati da un nuovo malware noto come Doc. Tutto questo è fatto dal Ngrok Botnet, una pericolosa rete di host infetti che è attiva da almeno due anni. Il malware stesso è un virus Linux precedentemente non rilevato che sfrutta il gran numero di host compromessi. Questa botnet è configurata per esporre i server Docker che sono ospitati su piattaforme cloud popolari come Azure e Amazon AWS.
La tecnica utilizzata è completamente nuova — un portafoglio blockchain sta generando i server di comando e controllo utilizzati per le comunicazioni degli hacker. La criptovaluta in uso per questo era Dogecoin — il suo algoritmo è stato abusato nel generare dinamicamente l'indirizzo che è stato utilizzato per creare l'indirizzo richiesto su cui vengono effettuate le comunicazioni criminali. Poiché questo produce costantemente nuovi indirizzi, il malware è rimasto inosservato per circa 6 mesi.
Leggi anche Malware Stealthworker utilizzato per dirottare siti WordPress
Il difetto sfrutta contenitori Docker non configurati correttamente - il metodo più comunemente usato è quello di sfruttare le immagini contenenti il software curl - un programma che viene utilizzato per recuperare file da posizioni remote. Gli attaccanti remoti possono schierarsi immagini contenenti malware su Internet: è possibile utilizzare strategie di phishing comuni per consentire agli utenti di scaricarlo e distribuirlo sui propri server.
Leggi anche Come testare la sicurezza del tuo sito WordPress
Mentre la rete botnet può cercare istanze Docker vulnerabili, allo stesso tempo, i gruppi criminali possono anche utilizzare varie strategie di phishing per diffondere le copie infette. Il malware Doki funziona impostando parametri e autorizzazioni sul servizio di cloud hosting consentendo agli aggressori remoti di accedervi. La botnet Ngrok include anche uno script che stabilisce un tunnel sicuro tra gli host infetti e gli hacker. Gli URL sono unici e mantenuti solo per una breve durata. Una volta attivati scaricheranno automaticamente gli script remoti. I casi di malware Doki possono essere configurati per eseguire una delle seguenti azioni:
- Infezioni da virus aggiuntivi — Il malware Doki può essere utilizzato per distribuire altri virus sui computer infetti. I più comuni sono minatori di criptovaluta — script che recuperano attività ad alte prestazioni da un host remoto. Per ogni attività completata e segnalata, gli hacker riceveranno risorse di criptovaluta come pagamento.
- Manipolazione del sistema — Il malware Doki può essere utilizzato per manipolare il sistema al fine di riconfigurare gli host contaminati.
- Acquisizione dell'host — Utilizzando il malware Doki, gli hacker possono assumere completamente il controllo dei server infetti assumendo il controllo o rubando i file memorizzati.
Se si esegue un contenitore Docker, si consiglia di: a viene effettuato un accurato controllo di sicurezza. Controlla le autorizzazioni delle cartelle e dei file system per vedere se qualcun altro oltre a te ha accesso ai dati memorizzati.