Az új Docker botnet: amikor a hackerek a Tor mögé bújnak

A támadók egyre fejlettebb módszerekkel törik fel a védtelen Docker API-kat. Korábban csak kriptobányász kártevőkkel támadtak, ma azonban már ennél jóval összetettebb eszközöket használnak. A hackerek először felkutatják az interneten szabadon elérhető Docker API-kat (alapértelmezett: 2375-ös port), majd egy módosított Alpine Linux képet töltetnek le, amely kódolt parancsot tartalmaz. Ez telepíti a curl-t és a Tor-t, elindítja a Tor démont, majd egy rejtett Tor-szolgáltatásból újabb fertőző szkriptet (docker-init.sh) tölt le.

Álcázott támadás, rejtett hátsó ajtók

A második hullámban letöltött szkript SSH-hozzáférést biztosít a támadónak azzal, hogy az ő publikus kulcsát írja a /root/.ssh/authorized_keys fájlba, vagyis teljes ellenőrzést ad a rendszer felett. Egy minden percre beállított cron job lezárja kívülről a 2375-ös portot, így sem más potenciális támadók, sem akár a rendszergazda nem férhet hozzá. Emellett telepíti a masscan, zstd, libpcap és torsocks eszközöket, ezzel támogatva a további hálózati terjeszkedést, tömörítést és a forgalom elrejtését.

Önmagát másoló kártevő

A fertőző Go-ban írt bináris képes újabb védtelen Docker API-kat felkutatni és autonóm módon megfertőzni azokat, miközben eltávolítja a rivális botokat. Ez a fajta önreplikáció a botnetek fő jellemzője: külső beavatkozás nélkül is gyorsan terjedhetnek. A program további, még nem aktivált funkciókat is tartalmaz Telnet és a Chrome böngésző távoli hibakereső felületeinek támadására, ami a jövőben akár további terjeszkedést, adatlopást vagy DDoS-támadásokat is lehetővé tehet. A kódból ítélve ez a variáns még csak a botnet kezdeti verziója – de már most is komoly, sokoldalú fenyegetést jelent.

2025, adrienne, www.bleepingcomputer.com alapján