ClickCease Alerta de botnet DDoS OracleIV: proteja sus API de motores Docker

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Alerta de botnet DDoS OracleIV: proteja sus API de motores Docker

Rohan Timalsina

20 de noviembre de 2023 - Equipo de expertos TuxCare

Atención usuarios de Docker: una nueva amenaza conocida como OracleIV está en auge, dirigida a instancias de la API del motor Docker de acceso público. Investigadores de Cado han descubierto una campaña en la que los atacantes explotan configuraciones erróneas para convertir las máquinas en una red de bots de denegación de servicio distribuida (DDoS).

 

Detalles del ataque DDoS Botnet

 

Los atacantes utilizan una solicitud HTTP POST a la API de Docker para obtener una imagen maliciosa llamada 'oracleiv_latest' de Docker Hub. Esta imagen contiene malware Python compilado como un ejecutable ELF. Curiosamente, se disfraza como una imagen de MySQL para Docker y se ha descargado 3.500 veces hasta ahora. Sin embargo, la imagen también incluye instrucciones para obtener un minero XMRig y su configuración desde un servidor de comando y control (C&C).

A pesar de la inclusión de un minero, los investigadores no encontraron pruebas de minería de criptomoneda por el contenedor falsificado. En su lugar, descubrieron un script de shell conciso (oracle.sh) dentro de la imagen, equipado con funciones para llevar a cabo ataques DDoS como slowloris, SYN floods y UDP floods.

Los expertos en seguridad en la nube hacen hincapié en la vulnerabilidad de las instancias Docker expuestas, destacando su creciente uso como conductos para campañas de cryptojacking. La sencillez de extraer una imagen maliciosa y lanzar un contenedor desde ella, especialmente desde Docker Hub, convierte a estas instancias en un objetivo atractivo para los actores de amenazas.

No solo Docker se enfrenta a estos problemas; los servidores MySQL vulnerables también están siendo atacados. Un malware botnet DDoS de origen chino llamado Ddostf tiene como objetivo los servidores MySQL, lo que permite a los actores de amenazas infectar numerosos sistemas y vender ataques DDoS como un servicio.

Para aumentar la complejidad, han surgido nuevas redes de bots DDoS como hailBot, kiraiBot y catDDoS basadas en el código fuente de Mirai filtrado en 2016. La empresa de ciberseguridad NSFOCUS advierte de que estos troyanos introducen nuevos algoritmos de cifrado y emplean métodos de comunicación encubiertos para ocultarse mejor.

XorDdos, un malware DDoS dirigido a Linux, también ha resurgido en 2023. Este malware infecta dispositivos Linux, convirtiéndolos en "zombis" para posteriores ataques DDoS contra objetivos específicos.

 

Palabras finales

 

La Unidad 42 de Palo Alto Networks informa de que la campaña de la red de bots DDoS OracleIV comenzó a finales de julio de 2023 y alcanzó su punto álgido en torno al 12 de agosto de 2023. Para infiltrarse con éxito en los dispositivos, los atacantes iniciaron un proceso de escaneado mediante peticiones HTTP para identificar vulnerabilidades. Una vez que el malware obtiene acceso, se convierte en un servicio en segundo plano, que se ejecuta independientemente de la sesión de usuario actual para eludir la detección. Manténgase alerta y asegure sus configuraciones de Docker y MySQL para protegerse contra estas amenazas en evolución.

 

Las fuentes de este artículo incluyen una historia de TheHackerNews.

Resumen
Alerta de botnet DDoS OracleIV: proteja sus API de motores Docker
Nombre del artículo
Alerta de botnet DDoS OracleIV: proteja sus API de motores Docker
Descripción
OracleIV apunta a las API de Docker, convirtiendo las máquinas en una red de bots DDoS. Aprenda a proteger sus configuraciones de Docker frente a esta ciberamenaza.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín