El malware 'Doki' ataca servidores Docker usando Dogecoin

El malware que no ha sido detectado durante seis meses está explotando puertos API de Docker mal configurados para lanzar cargas maliciosas, mientras abusa de la cadena de bloques de criptomonedas Dogecoin en el proceso.

El malware, conocido como 'Doki', se dirige a entornos en contenedores mal configurados alojados en Azure, AWS y otras plataformas importantes en la nube, según los investigadores de Intezer, y los atacantes pueden encontrar puertos API de Docker de acceso público y explotarlos para establecer su contenedores propios.

Luego, Doki puede instalar malware en la infraestructura objetivo según el código recibido de sus operadores, generando y eliminando contenedores durante el proceso.

Doki sirve como una puerta trasera de Linux indetectable y representa una evolución de la campaña Ngrok Botnet de dos años. De manera alarmante, también logró evadir cada una de las 60 plataformas de malware enumeradas en VirusTotal desde que se analizó por primera vez en enero de 2020.

Esta variedad en particular es inusual en el sentido de que abusa de la cadena de bloques de criptomonedas Dogecoin para atacar estos entornos en contenedores. Los atacantes utilizan un método bastante ingenioso para evitar que se elimine la infraestructura de la botnet, que implica cambiar dinámicamente el dominio del servidor de comando y control (C2) en función de las transacciones registradas en una billetera Dogecoin.

La dirección de dominio C2, desde la que se envía la carga útil, cambia según la cantidad de Dogecoin en la billetera en un momento dado. Cuando se agrega o elimina una criptomoneda de la billetera, el sistema codifica la transacción y crea una nueva dirección única desde la cual pueden controlar el malware Doki.

Debido a la naturaleza segura y descentralizada de Blockchain, las fuerzas del orden no pueden desmantelar esta infraestructura, y otros no pueden adelantarse a las nuevas direcciones, ya que solo los atacantes pueden realizar transacciones en su billetera Dogecoin.

“Las amenazas de Linux son cada vez más comunes. Un factor que contribuye a esto es el cambio y la dependencia cada vez mayores de los entornos de nube, que se basan principalmente en la infraestructura de Linux”, dijeron los investigadores Nicole Fishbein y Michael Kajiloti. "Por lo tanto, los atacantes se han estado adaptando en consecuencia con nuevas herramientas y técnicas diseñadas específicamente para esta infraestructura".

Históricamente, Ngrok Botnet ha sido una de las amenazas más frecuentes que abusan de los puertos API de Docker mal configurados para ejecutar malware, agregaron. Como parte del ataque, los piratas informáticos abusarían de las funciones de configuración de Docker para eludir las restricciones del contenedor y ejecutar varias cargas útiles desde el host.

Tales amenazas también implementan escáneres de red para identificar los rangos de IP de los proveedores de la nube para objetivos potencialmente vulnerables adicionales. Lo que lo hace tan peligroso es que solo toma unas pocas horas desde que un servidor Docker mal configurado está en línea para infectarse.

Mientras tanto, debido a que la cadena de bloques de criptomonedas de la que abusan los piratas informáticos es inmutable y descentralizada, agregaron Fishbein y Kajiloti, el método es resistente a los derribos de infraestructura, así como a los intentos de filtrado de dominios.

Los piratas informáticos pueden crear cualquier contenedor como parte del ataque y ejecutar código desde la máquina host explotando un método de escape del contenedor. Esto se basa en la creación de un nuevo contenedor, que se logra mediante la publicación de una solicitud de API de "creación".

Cada contenedor se basa en una imagen alpina con curl instalado, que no es malicioso en sí mismo, sino que se abusa de él para ejecutar el ataque con comandos curl, que se activan tan pronto como el contenedor está en funcionamiento.

Luego, los piratas informáticos abusan del servicio Ngrok, que proporciona túneles seguros que se conectan entre los servidores locales y la Internet pública, para crear direcciones URL únicas con una vida útil corta, usándolas para descargar cargas útiles durante el ataque pasándolas a la imagen basada en curl.

“La campaña Ngrok Botnet ha estado en curso durante más de dos años y es bastante efectiva, ya que infecta cualquier servidor API de Docker mal configurado en cuestión de horas”, agregaron Nicole Fishbein y Michael Kajiloti. “La incorporación del malware Doki único y no detectado indica que la operación continúa evolucionando.

“Este ataque es muy peligroso debido a que el atacante utiliza técnicas de escape de contenedores para obtener el control total de la infraestructura de la víctima. Nuestra evidencia muestra que solo toma unas pocas horas desde que un nuevo servidor Docker mal configurado está en línea para infectarse con esta campaña".

Los investigadores han recomendado que tanto las empresas como las personas que poseen servidores de contenedores basados ​​en la nube deben corregir de inmediato sus ajustes de configuración para evitar la exposición a la amenaza. Este proceso incluye verificar si hay puertos expuestos, verificar que no haya contenedores extraños o desconocidos entre los contenedores existentes y monitorear el uso excesivo de recursos informáticos.