OracleIV DDoS-Botnet kapert Docker-Container
Öffentlich zugängliche Docker-Engine-API-Instanzen werden derzeit von Kriminellen als Teil einer umfangreichen Kampagne ins Visier genommen. Das Hauptziel dieser Attacken besteht darin, diese Instanzen in ein gefährliches Distributed-Denial-of-Service (DDoS)-Botnet namens OracleIV zu integrieren. Docker-Nutzer sollten dringend Schritte unternehmen, um ihre Systeme zu schützen. Dazu zählen neben regelmäßige Sicherheitsupdates die Absicherung von API-Zugriffen und die Implementierung strikter Zugriffskontrollen.
Hacker nutzen die als „öffentlich zugänglich“ fehlkonfigurierten Docker-Engine-API-Instanzen, um einen schädlichen Docker-Container auszuliefern. Dieser Container stammt von einem Image namens ‚oracleiv_latest‘ und enthält böswillige Python-Software, die als ausführbare ELF-Datei kompiliert wurde, so Forscher des Cloud-Sicherheitsunternehmens Cado.
Die böswillige Aktivität beginnt, indem die Angreifer eine HTTP POST-Anfrage an die Docker-API stellen, um ein mit Schad-Code behaftetes Image von Docker Hub zu erhalten. Dieses Image führt dann einen Befehl aus, um ein Shell-Skript namens ‚oracle.sh‘ von einem Command-and-Control-Server abzurufen. Oracleiv_latest gibt vor, ein MySQL-Image für Docker zu sein. Es wurde bisher 3.500 Mal abgerufen. Wenig überraschend enthält das Image auch zusätzliche Anweisungen, um einen XMRig-Miner und dessen Konfiguration vom selben Server zu holen.
Cado hat nach eigenen Angaben jedoch keine Beweise für das Mining von Kryptowährungen durch den gefälschten Container gefunden. Das Shell-Skript ist knapp gehalten und enthält Funktionen zur Durchführung von DDoS-Angriffen wie Slowloris, SYN-Floods und UDP-Floods.
Exponierte Docker-Instanzen sind in den letzten Jahren zu einem lukrativen Angriffsziel geworden und werden häufig als Einfallstor für Kryptojacking-Kampagnen genutzt. „Sobald ein gültiger Endpunkt entdeckt wurde, ist es trivial, ein bösartiges Image zu erstellen und einen Container hochzufahren, um jedes denkbare Ziel zu erreichen“, so die Forscher. „Durch das Hosten des bösartigen Containers in Docker Hub, der Container-Image-Bibliothek von Docker, wird dieser Prozess noch weiter vereinfacht.“
Berichten des AhnLab Security Emergency Response Center (ASEC) zufolge sind nicht nur Docker-Systeme von Bedrohungen betroffen, sondern auch anfällige MySQL-Server gerieten ins Visier eines DDoS-Botnetzes. Die Angreifer, angeblich chinesischer Herkunft, werden der Gruppe namens Ddostf zugeordnet. ASEC hebt hervor, dass, während die meisten von Ddostf unterstützten Befehle denen typischer DDoS-Bots ähneln, eine bemerkenswerte Eigenschaft von Ddostf darin besteht, dass es sich mit einem neu empfangenen Befehl- und Kontrollserver verbinden und dort für einen bestimmten Zeitraum Befehle ausführen kann. „Auf dem neuen C&C-Server können nur DDoS-Befehle ausgeführt werden. Dies impliziert, dass der Ddostf-Bedrohungsakteur zahlreiche Systeme infizieren und dann DDoS-Angriffe als Dienstleistung verkaufen kann“, so die Cado-Forscher.
Zusätzlich dazu haben sich mehrere neue DDoS-Botnetze wie hailBot, kiraiBot und catDDoS entwickelt, die auf dem Mirai-Quellcode basieren, der im Jahr 2016 durchgesickert ist. Das Cybersicherheitsunternehmen NSFOCUS erklärte letzten Monat: „Diese neu entdeckten Trojaner führen entweder neue Verschlüsselungsmethoden ein, um wichtige Informationen zu verschleiern, oder verbessern ihre Tarnung, indem sie den Startprozess modifizieren und ausgefeiltere Kommunikationswege entwickeln.“
Eine weitere DDoS-Malware, die in diesem Jahr wieder aufgetaucht ist, ist XorDdos, die Linux-Geräte infiziert und sie „in Zombies verwandelt“, die dann DDoS-Angriffe gegen interessante Ziele durchführen.
Gemäß Palo Alto Networks Unit 42 begann die Kampagne Ende Juli 2023 und erreichte ihren Höhepunkt um den 12. August 2023. Das Unternehmen berichtet: „Bevor die Schadsoftware ein Gerät erfolgreich infiltriert, führen die Angreifer einen Scan-Prozess durch, der HTTP-Anfragen verwendet, um potenzielle Schwachstellen in ihren Zielen zu identifizieren.“ Außerdem wird erwähnt, dass „die Bedrohung ihren Prozess in einen Hintergrunddienst umwandelt, um der Erkennung zu entgehen. Dieser Dienst läuft unabhängig von der aktuellen Benutzersitzung.“