Atacul vizează API-urile Docker expuse la internet și folosește containere pentru a prelua controlul mașinilor; în ultimele luni cercetători de la Trend Micro și Akamai au urmărit evoluția unor instrumente care au evoluat de la un criptominer la un payload mult mai complex, conceput pentru construirea unui botnet.
Încă din iunie, Trend Micro a semnalat scripturi care instalau un criptominer și foloseau rețeaua Tor pentru anonimizare. Recent, specialiștii Akamai au identificat o versiune actualizată care nu mai distribuie minerul, ci un pachet capabil să blocheze accesul la API-urile Docker compromise și să pregătească gazda pentru răspândire și persistență. Metoda de infectare este simplă, dar eficientă: atacatorii caută hosturi cu portul 2375 deschis, trimit o cerere de creare a unui container bazată pe o imagine Alpine modificată care conține o comandă shell codificată în base64. Containerul decodifică și execută comanda, instalează curl și tor, pornește un demon Tor și verifică conexiunea apelând checkip.amazonaws.com printr-un proxy SOCKS5, o modalitate practică de a confirma funcționarea tunelului Tor.
După inițierea Tor, containerul descarcă un script de faza a doua, docker-init.sh, găzduit pe un serviciu ascuns Tor. Acest script stabilește acces persistent prin SSH, adăugând o cheie publică controlată de atacator în /root/.ssh/authorized_keys pe filesystem-ul montat al gazdei. De asemenea, plasează pe gazdă o sarcină cron codificată în base64 care rulează la fiecare minut și blochează accesul extern la portul 2375 folosind firewall-ul disponibil (iptables, nftables, ufw etc.). În plus, instalează utilitare precum masscan, zstd, libpcap și torsocks pentru scanare, propagare și evitarea detecției.
Următorul pas este descărcarea, tot prin Tor, a unui binar Go comprimat cu Zstandard (system-linux-ARCH.zst). Fișierul este decomprimat în /tmp/system, devine executabil și este rulat. Acest binar funcționează ca dropper: extrage și pornește un alt binar încorporat și scanează fișierul utmp al sistemului pentru a identifica utilizatorii conectați. Funcționalitățile observate includ căutarea altor API-uri Docker expuse și încercarea de a le infecta folosind aceeași metodă de creare a containerelor; odată accesat un nod, malware-ul elimină containerele concurente, un comportament tipic al agenților de botnet care caută control exclusiv asupra resurselor compromise.
Akamai a mai observat fragmente de cod inactive care indică posibile extinderi: exploatarea Telnet (port 23) prin credentiale implicite ale routerelor și interacțiunea cu interfața de depanare remote a Chrome (port 9222). Aceste componente ar putea fi folosite pentru furt de credențiale, deturnare de sesiuni de browser, descărcare de fișiere la distanță sau chiar atacuri DDoS, dacă sunt activate. Cercetătorii consideră această versiune ca fiind o primă fază a unui botnet complex, deoarece mecanismele esențiale pentru mișcare laterală, persistență și autoreplicare sunt deja prezente, deși nu a fost găsită încă o variantă „completă” care să coordoneze toate capabilitățile.
Această evoluție arată cum exploatările oportuniste ale API-urilor Docker pot deveni amenințări multi-vector: de la un miner simplu, campania a migrat către instrumente care optimizează propagarea și camuflarea traficului, pregătind terenul pentru capabilități ofensivă mai extinse. Practic, atacatorii folosesc containerele ca mijloace rapide de livrare și persistență, profitând de configurații greșite sau implicite ale serviciilor expuse online.
Akamai și Trend Micro au jucat un rol important în descoperirea și documentarea acestor versiuni, iar avertismentele lor ar trebui să îi determine pe administratori să verifice dacă portul 2375 rămâne accesibil. Măsurile recomandate includ blocarea accesului neautorizat la API-ul Docker, activarea autentificării și a TLS pentru comunicațiile Docker, monitorizarea activității Cron și a proceselor noi și scanările periodice pentru imagini/containeri neașteptați.
scriptul docker-init.sh, prezența unui binar Go comprimat (system-linux-ARCH.zst) și blocarea portului 2375 printr-un job cron sunt indicatori clari ai tehnicii folosite în atac, iar detectarea lor poate facilita identificarea rapidă a unei compromiteri. Un exemplu practic: verificarea fișierului /root/.ssh/authorized_keys și a fișierelor cron instalate, precum și scanarea pentru procese Tor sau pentru fișiere .zst în /tmp sunt pași rapizi care pot releva o intruziune. Ce canal de monitorizare folosiți pentru a detecta astfel de modificări în mediul vostru?
ufa, iar 2375 deschis e ca și invitatul ăla nepoftit, închide-l!