ClickCease Alerte au botnet DDoS OracleIV : sécurisez vos API de moteur Docker

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Alerte au botnet DDoS OracleIV : sécurisez vos API de moteur Docker

Rohan Timalsina

20 novembre 2023 - L'équipe d'experts de TuxCare

Attention aux utilisateurs de Docker: une nouvelle menace connue sous le nom d'OracleIV est en train de se développer, ciblant les instances API de Docker Engine accessibles au public. Des chercheurs de Cado ont découvert une campagne dans laquelle les attaquants exploitent des configurations erronées pour transformer les machines en un botnet de déni de service distribué (DDoS).

 

Détails de l'attaque du réseau de zombies DDoS

 

Les attaquants utilisent une requête HTTP POST à l'API de Docker pour récupérer une image malveillante nommée 'oracleiv_latest' depuis Docker Hub. Cette image contient un logiciel malveillant Python compilé sous la forme d'un exécutable ELF. Il est intéressant de noter qu'elle se déguise en image MySQL pour Docker et qu'elle a été téléchargée 3 500 fois jusqu'à présent. Cependant, l'image contient également des instructions pour récupérer un mineur XMRig et sa configuration à partir d'un serveur de commande et de contrôle (C&C).

Malgré l'inclusion d'un mineur, les chercheurs n'ont pas trouvé de preuve de minage de crypto-monnaie par le conteneur contrefait. En revanche, ils ont découvert un script shell concis (oracle.sh) dans l'image, doté de fonctions permettant de mener des attaques DDoS telles que slowloris, SYN floods et UDP floods.

Les experts en sécurité du cloud soulignent la vulnérabilité des instances Docker exposées, en mettant en évidence leur utilisation croissante comme conduits pour les campagnes de cryptojacking. La simplicité d'extraction d'une image malveillante et de lancement d'un conteneur à partir de celle-ci, en particulier à partir de Docker Hub, fait de ces instances une cible attrayante pour les acteurs de la menace.

Docker n'est pas le seul à être confronté à ces problèmes ; les serveurs MySQL vulnérables font également l'objet d'attaques. Un logiciel malveillant de réseau de zombies DDoS d'origine chinoise appelé Ddostf cible les serveurs MySQL, ce qui permet aux acteurs de la menace d'infecter de nombreux systèmes et de vendre des attaques DDoS en tant que service.

Pour ajouter à la complexité, de nouveaux botnets DDoS tels que hailBot, kiraiBot et catDDoS sont apparus sur la base du code source de Mirai qui a fait l'objet d'une fuite en 2016. L'entreprise de cybersécurité NSFOCUS prévient que ces chevaux de Troie introduisent de nouveaux algorithmes de chiffrement et utilisent des méthodes de communication secrètes pour mieux se dissimuler.

XorDdos, un logiciel malveillant DDoS ciblant Linux, a également refait surface en 2023. Ce logiciel malveillant infecte les appareils Linux, les transformant en "zombies" pour des attaques DDoS ultérieures contre des cibles spécifiques.

 

Dernières paroles

 

L'unité 42 de Palo Alto Networks rapporte que la campagne du botnet DDoS OracleIV a commencé à la fin du mois de juillet 2023 et a atteint son apogée autour du 12 août 2023. Pour réussir à infiltrer les appareils, les attaquants ont lancé un processus d'analyse à l'aide de requêtes HTTP afin d'identifier les vulnérabilités. Une fois que le logiciel malveillant a obtenu l'accès, il se transforme en service d'arrière-plan, fonctionnant indépendamment de la session utilisateur en cours afin d'échapper à la détection. Restez vigilant et sécurisez vos configurations Docker et MySQL pour vous protéger contre ces menaces en constante évolution.

 

Les sources de cet article comprennent un article de TheHackerNews.

Résumé
Alerte au botnet DDoS OracleIV : sécurisez vos API de moteur Docker
Nom de l'article
Alerte au botnet DDoS OracleIV : sécurisez vos API de moteur Docker
Description
OracleIV cible les API Docker, transformant les machines en botnet DDoS. Découvrez comment sécuriser vos configurations Docker contre cette cybermenace.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information