Les chercheurs d'Intezer ont repéré Doki, un malware Linux totalement indétectable, exploitant des tactiques non documentées pour rester inaperçu et cibler les serveurs Docker accessibles au public.
Que devez-vous savoir sur ces attaques ?
- Les cybercriminels recherchent des ports d'API Docker accessibles au public et les exploitent pour configurer leurs propres conteneurs et exécuter des activités malveillantes.
- Les conteneurs créés lors de l'attaque sont basés sur une image alpine avec curl installé.
- Les conteneurs créés lors de l'attaque sont configurés pour lier le répertoire /tmpXXXXXX au répertoire racine du serveur d'hébergement. Cela signifie que tous les fichiers du système de fichiers du serveur peuvent être consultés et même modifiés, avec les autorisations utilisateur appropriées, à partir du conteneur.
- Les opérateurs abusent de Ngrok pour créer des URL uniques avec une courte durée de vie et les utilisent pour télécharger des charges utiles.
En savoir plus sur Doki
- Doki est une porte dérobée Linux et qui exécute les codes reçus de ses opérateurs.
- Il exerce le service DynDNS et un algorithme de génération de domaine (DGA) unique basé sur la blockchain de crypto-monnaie Dogecoin pour trouver le domaine de son C&C en temps réel.
- Ce malware est une porte dérobée entièrement non détectée et a réussi à rester sous le radar pendant plus de six mois.
Comment vous protéger ?
L'essentiel est que les organisations exécutant Docker dans le cloud doivent s'assurer que l'API de l'interface de gestion n'est pas exposée à Internet.
Leave a Reply