Da immer mehr Unternehmen ihre Arbeitslasten in Cloud-Umgebungen verlagern, werden Linux-Bedrohungen immer häufiger und Cyberkriminelle haben neue Tools und Techniken entwickelt, um Angriffe auf die Linux-Infrastruktur zu starten. Eine häufig verwendete Technik besteht darin, nach öffentlich verfügbaren Docker-Servern zu suchen und dann falsch konfigurierte Docker-API-Ports zu missbrauchen, um eigene Container einzurichten und Malware auf der Infrastruktur ihrer Opfer auszuführen. Das Ngrok-Botnetz ist eine der am längsten laufenden Angriffskampagnen, die diese Technik ausnutzen, und ein neuer Bericht von Intezer Labs zeigt, dass es nur wenige Stunden dauert, bis ein neuer, falsch konfigurierter Docker-Server mit dieser Technik infiziert wird. Glocke. Allerdings hat das Unternehmen kürzlich eine neue Malware-Payload entdeckt, die es Doki nennt und die sich von den üblichen Kryptominern unterscheidet, die bei dieser Art von Angriff eingesetzt werden. Was Doki von anderer Malware unterscheidet, ist, dass es die Dogecoin-API ausnutzt, um die URL des Command and Control (C&C)-Servers seines Betreibers zu ermitteln. Der Malware gelang es, mehr als sechs Monate lang im Schatten zu bleiben und unentdeckt zu bleiben, obwohl Doki-Beispiele auf VirusTotal öffentlich verfügbar sind.
Malware Doki
Sobald Hacker die Docker-API missbrauchen, um neue Server in der Cloud-Infrastruktur eines Unternehmens bereitzustellen, werden die Server, auf denen eine Version von Alpine Linux läuft, mit Krypto-Mining-Malware infiziert. sowie von Doki. Laut Intezer-Forschern besteht das Ziel von Doki darin, Hackern vor allem die Kontrolle über die von ihnen gekaperten Server zu ermöglichen, um sicherzustellen, dass sie ihre Krypto-Mining-Operationen fortsetzen können. Die neue Malware unterscheidet sich jedoch von anderen Backdoor-Trojanern dadurch, dass sie die Dogecoin-API verwendet, um die URL des C&C-Servers zu ermitteln, zu dem eine Verbindung für weitere Anweisungen hergestellt werden soll. Doki verwendet einen dynamischen Algorithmus, bekannt als DGA oder Domain Generation Algorithm, um die C&C-Richtung mithilfe der Dogecoin-API zu bestimmen. Ngrok-Botnet-Betreiber können auch problemlos den Server ändern, von dem die Malware ihre Anfragen erhält, indem sie eine einzige Transaktion von einem von ihnen kontrollierten Dogecoin-Wallet aus durchführen. Wenn DynDNS eine Missbrauchsmeldung zur aktuellen Doki C&C-URL erhält und die Website entfernt wird, müssen die Cyberkriminellen lediglich eine neue Transaktion abschließen, den Subdomain-Wert ermitteln und ein neues Konto erstellen. DynDNS und beanspruchen Sie die Subdomain. Diese clevere Taktik verhindert, dass Unternehmen und sogar Strafverfolgungsbehörden die Back-End-Infrastruktur von Doki abbauen, da sie zuerst die Kontrolle über Ngroks Dogecoin-Wallet übernehmen müssten. über ZDNet