OracleIV DDoS Botnet Alert: Sichern Sie Ihre Docker Engine APIs
Achtung, Docker-Nutzer: Eine neue Bedrohung namens OracleIV ist auf dem Vormarsch und zielt auf öffentlich zugängliche Docker Engine API-Instanzen ab. Forscher von Cado haben eine Kampagne aufgedeckt, bei der Angreifer Fehlkonfigurationen ausnutzen, um Maschinen in ein Distributed-Denial-of-Service (DDoS)-Botnet zu verwandeln.
Details zum DDoS-Botnet-Angriff
Die Angreifer verwenden eine HTTP-POST-Anfrage an die Docker-API, um ein bösartiges Image namens "oracleiv_latest" von Docker Hub zu holen. Dieses Image enthält Python-Malware, die als ausführbare ELF-Datei kompiliert wurde. Interessanterweise tarnt es sich als ein MySQL-Image für Docker und wurde bisher 3.500 Mal heruntergeladen. Das Image enthält jedoch auch Anweisungen zum Abrufen eines XMRig-Miners und seiner Konfiguration von einem Command-and-Control (C&C)-Server.
Trotz der Einbeziehung eines Miners fanden die Forscher keine Beweise für das Mining von Kryptowährungen durch den gefälschten Container. Stattdessen entdeckten sie ein prägnantes Shell-Skript (oracle.sh) innerhalb des Images, das mit Funktionen zur Durchführung von DDoS-Angriffen wie Slowloris, SYN-Floods und UDP-Floods ausgestattet ist.
Cloud-Sicherheitsexperten betonen die Anfälligkeit exponierter Docker-Instanzen und weisen darauf hin, dass diese zunehmend als Kanäle für Kryptojacking-Kampagnen genutzt werden. Da es so einfach ist, ein bösartiges Image zu erstellen und einen Container davon zu starten, insbesondere von Docker Hub, sind diese Instanzen ein attraktives Ziel für Bedrohungsakteure.
Nicht nur Docker ist mit diesen Problemen konfrontiert, auch anfällige MySQL-Server werden angegriffen. Eine aus China stammende DDoS-Botnet-Malware namens Ddostf zielt auf MySQL-Server ab und ermöglicht es Bedrohungsakteuren, zahlreiche Systeme zu infizieren und DDoS-Angriffe als Dienstleistung zu verkaufen.
Zusätzlich zur Komplexität sind neue DDoS-Botnetze wie hailBot, kiraiBot und catDDoS entstanden, die auf dem geleakten Mirai-Quellcode von 2016 basieren. Das Cybersicherheitsunternehmen NSFOCUS warnt, dass diese Trojaner neue Verschlüsselungsalgorithmen einführen und verdeckte Kommunikationsmethoden einsetzen, um sich besser zu verstecken.
XorDdos, eine auf Linux abzielende DDoS-Malware, ist ebenfalls im Jahr 2023 wieder aufgetaucht. Diese Malware infiziert Linux-Geräte und verwandelt sie in "Zombies" für nachfolgende DDoS-Angriffe auf bestimmte Ziele.
Letzte Worte
Palo Alto Networks Unit 42 berichtet, dass die OracleIV DDoS-Botnet-Kampagne Ende Juli 2023 begann und um den 12. August 2023 ihren Höhepunkt erreichte. Um Geräte erfolgreich zu infiltrieren, starteten die Angreifer einen Scan-Prozess mit HTTP-Anfragen, um Schwachstellen zu identifizieren. Sobald die Malware Zugriff erhält, wird sie zu einem Hintergrunddienst, der unabhängig von der aktuellen Benutzersitzung ausgeführt wird, um sich der Erkennung zu entziehen. Bleiben Sie wachsam und sichern Sie Ihre Docker- und MySQL-Konfigurationen ab, um sich vor diesen sich entwickelnden Bedrohungen zu schützen.
Zu den Quellen für diesen Artikel gehört ein Artikel von TheHackerNews.