Ботнет OracleIV использует общедоступные API Docker Engine для захвата контейнеров

В последнее время всё чаще стали фиксироваться атаки на общедоступные экземпляры API Docker Engine, которые злоумышленники используют для превращения машин в ботнеты для DDoS-атак. Основная цель таких атак – расширение ботнета под названием OracleIV.

Компания Cado Security сообщает, что киберпреступники эксплуатируют уязвимости в настройках, чтобы доставить вредоносный контейнер Docker, созданный из образа под названием «oracleiv_latest». Контейнер содержит вредоносное ПО на Python, скомпилированное в виде исполняемого файла ELF.

Атака начинается с того, что злоумышленники отправляют HTTP POST-запрос к API Docker для извлечения вредоносного образа с Docker Hub, который образ, в свою очередь, запускает команду для получения скрипта (oracle.sh) с сервера управления и контроля (Command and Control, C2).

Образ «oracleiv_latest», представленный как образ MySQL для Docker, был загружен более 3 500 раз. Кроме того, он содержит дополнительные инструкции для загрузки майнера XMRig и его конфигурации с того же сервера. Однако, по данным Cado, доказательств майнинга криптовалюты не обнаружено. Вместо майнинга скрипт содержит функции для проведения DDoS-атак типа slowloris, SYN-флуды и UDP-флуды.