Alerte : le Botnet DDoS OracleIV menace les API publiques de Docker

« Les attaquants exploitent cette mauvaise configuration pour livrer un conteneur Docker malveillant, construit à partir d’une image nommée ‘oracleiv_latest’ et contenant un logiciel malveillant Python compilé sous forme d’exécutable ELF », ont déclaré les chercheurs Nate Bill et Matt Muir de Cado.

L’activité malveillante commence lorsque les attaquants utilisent une requête HTTP POST à l’API de Docker pour récupérer une image malveillante à partir de Docker Hub, qui, à son tour, exécute une commande pour récupérer un script shell (oracle.sh) à partir d’un serveur de commande et de contrôle (C&C).

Oracleiv_latest prétend être une image MySQL pour Docker et a été tirée 3 500 fois à ce jour. De manière peut-être moins surprenante, l’image contient également des instructions supplémentaires pour récupérer un mineur XMRig et sa configuration à partir du même serveur.

Cela dit, l’entreprise de sécurité du cloud a déclaré qu’elle n’avait observé aucune preuve de minage de crypto-monnaie effectué par le conteneur contrefait. Le script shell, quant à lui, est concis et intègre des fonctions permettant de mener des attaques DDoS telles que slowloris, SYN floods et UDP floods.

Les instances Docker exposées sont devenues une cible d’attaque lucrative ces dernières années, souvent utilisées comme conduits pour des campagnes de cryptojacking. « Une fois qu’un point de terminaison valide est découvert, il est facile de créer une image malveillante et de lancer un conteneur à partir de cette image pour atteindre n’importe quel objectif concevable », ont déclaré les chercheurs. « L’hébergement du conteneur malveillant dans Docker Hub, la bibliothèque d’images de conteneurs de Docker, rationalise encore davantage ce processus. Docker n’est pas le seul à être devenu vulnérable ces derniers temps : les serveurs MySQL sont devenus la cible d’un autre logiciel malveillant de réseau de zombies DDoS, connu sous le nom de Ddostf, selon le Centre de réponse aux urgences de sécurité d’AhnLab (ASEC). « Bien que la plupart des commandes prises en charge par Ddostf soient similaires à celles des bots DDoS typiques – c’est-à-dire l’inondation SYN/UDP/HTTP – une caractéristique distinctive de Ddostf est sa capacité à se connecter à une nouvelle adresse reçue du serveur C&C et à y exécuter des commandes pendant une certaine période », a déclaré l’ASEC. « Seules les commandes DDoS peuvent être exécutées sur le nouveau serveur C&C – Cela implique que l’acteur de la menace Ddostf peut infecter de nombreux systèmes puis vendre des attaques DDoS en tant que service ». L’émergence de plusieurs nouveaux botnets DDoS basés sur Mirai, dont le code source a été divulgué en 2016, notamment hailBot kiraiBot catDDoS, etc., ne fait qu’aggraver la situation. Selon NSFOCUS, qui a révélé cette information le mois dernier, « ces chevaux de Troie nouvellement développés introduisent de nouveaux algorithmes de cryptage, cachent des informations critiques ou se dissimulent mieux en modifiant le processus « go live » et en concevant des méthodes de communication plus discrètes ». Un autre logiciel malveillant DDos qui a refait surface cette année est XorDdos, qui infecte les appareils Linux et les transforme en zombies pour mener des attaques DDos contre des cibles d’intérêt, selon l’unité 42 de Palo Alto Networks, qui a noté que la campagne avait commencé fin juillet 2023 avant de culminer vers le 12 août 2023 : « Avant que le logiciel malveillant ne réussisse à infiltrer l’appareil, les attaquants ont lancé un processus de balayage utilisant des requêtes HTTP pour identifier les vulnérabilités potentielles de leurs cibles. Pour échapper à la détection, la menace transforme son processus en service d’arrière-plan qui s’exécute indépendamment de la session de l’utilisateur. » Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’informations et de conseils sur la cybersécurité.