Вредоносная сеть ищет контейнеры с удаленным доступом к API и внедряет в них трояна для DDoS-атак.
Операторы ботнета AESDDoS ищут неправильно настроенные контейнеры Docker и внедряют в них троян для сбора информации и организации DDoS-атак. Об этом сообщили ИБ-специалисты, изучившие новый вариант вредоносной программы. Злоумышленники сканируют Интернет в поисках открытых портов 2375 и проверяют найденные на сервере контейнеры на возможность удаленного доступа через API.
Как утверждают исследователи, киберпреступники используют ошибки в конфигурировании утилиты DevOps, чтобы проникнуть в контейнер и выполнить в его среде свой скрипт. API Docker позволяет злоумышленникам отправлять на хост связанные с контейнерами команды, которые будут выполнены демоном с root-привилегиями. Таким образом, удаленный доступ к программному интерфейсу контейнера дает атакующим возможность перехватить управление сервером и использовать его ресурсы.
Злоумышленники проводят поиск целей при помощи opensource-утилиты WinEggDrop. Программа отправляет SYN-пакеты по IP-адресам заданного диапазона; выявление уязвимых контейнеров производится с помощью приложения Docker Batch Test Tool. Для внедрения полезной нагрузки во все доступные Docker-образы применяется команда exec, которая доставляет на устройство бэкдор AESDDoS.
Инфицированный компьютер в дальнейшем может использоваться киберпреступниками для flood-атак следующих типов:
Дополнительно вредоносная программа передает на командный сервер данные о скомпрометированной системе. Злоумышленники получают сведения о типе процессора, объеме оперативной памяти и версии Linux. По мнению исследователей, эта информация может быть использована нападающими для определения дальнейших действий с зараженной машиной.
Ботнет AESDDoS известен ИБ-специалистам с 2014 года. В апреле 2019-го исследователи уже фиксировали атаки вредоносной сети на компьютеры с установленным ПО Confluence Server. Авторы зловреда использовали уязвимость CVE-2019-3396, чтобы не только загрузить клиентскую программу для DDoS-кампаний, но и внедрить в целевую систему майнер криптовалюты.