Docker es una solución de plataforma como servicio (PaaS) muy difundida para Linux y Windows, diseñada para facilitar a los desarrolladores la creación, ensayo y ejecución de sus aplicaciones en un entorno aislado denominado contenedor.
Según un informe publicado por Intezer, una campaña en curso emprendida por la red de botnets de criptominería Ngrok, que escanea Internet en busca de endpoints de la API Docker mal configurados, ya ha infectado numerosos servidores vulnerables con nuevo malware.
Si bien la red de botnets de criptominería Ngrok está activa desde hace dos años, la nueva campaña se centra principalmente en tomar el control de los servidores Docker mal configurados y explotarlos para establecer contenedores maliciosos con herramientas de criptominería, específicamente Dogecoin, que se ejecutan en la infraestructura de las víctimas.
El malware aprovecha un método no documentado para ponerse en contacto con su operador aprovechando la funcionalidad blockchain de Dogecoin de una manera única para generar dinámicamente su dirección de dominio C2. Intezer recalca que esto ocurre a pesar de que las muestras del malware han estado disponibles públicamente durante meses en VirusTotal.
Los principales hallazgos de Intezer son:
– Ngrok Mining Botnet es una campaña activa dirigida a los servidores Docker expuestos en AWS, Azure y otras plataformas cloud. Ha estado activa durante al menos dos años.
– El nuevo malware, denominado “Doki”, no ha sido detectado por ninguno de los 60 motores de detección de malware en VirusTotal desde que fue analizado por primera vez el 14 de enero de 2020.
– El malware para Linux utiliza una técnica no documentada anteriormente, que recurre a una cartera de blockchain para generar nombres de dominio C&C.
– Cualquier persona con acceso a la API de Docker pública corre un alto riesgo de ser hackeado en el lapso de unas pocas horas. Según Intezer, esto se debe probablemente a la exploración automatizada y continua de los hackers en Internet en busca de víctimas vulnerables.
– El atacante está usando las víctimas infectadas para buscar servidores vulnerables adicionales en la nube.
“Este ataque es muy peligroso debido a que el atacante utiliza técnicas de escape de contenedores para obtener el control total de la infraestructura de la víctima”, escribe Intezer, agregando que una vez hecho esto, el malware también aprovecha los sistemas comprometidos para explorar las profundidades de la red en busca de puertos asociados con Redis, Docker, SSH y HTTP, utilizando herramientas de escaneo como zmap, zgrap y jq.
Doki ha conseguido permanecer bajo el radar durante más de seis meses a pesar de haber sido subido a VirusTotal el 14 de enero de 2020, y escaneado varias veces desde entonces.
Intezer aconseja a los usuarios y organizaciones que ejecutan instancias de Docker no exponer las APIs de Docker a Internet, pero si a pesar de ello lo necesitan, asegurarse de que sólo se pueda acceder a ellas desde una red de confianza o VPN, y sólo a usuarios confiables para controlar su daemon de Docker.
