Alors que de plus en plus d'entreprises transfèrent leurs charges de travail vers des environnements cloud, les menaces Linux deviennent de plus en plus courantes et les cybercriminels ont conçu de nouveaux outils et techniques pour lancer des attaques contre l'infrastructure Linux.
Une technique qu'ils utilisent souvent consiste à rechercher des serveurs Docker accessibles au public, puis à abuser des ports d'API Docker mal configurés pour configurer leurs propres conteneurs et exécuter des logiciels malveillants sur l'infrastructure de leur victime. Le botnet Ngrok est l'une des plus longues campagnes d'attaque en cours qui exploite cette technique et un nouveau rapport d'Intezer Labs montre qu'il ne faut que quelques heures pour qu'un nouveau serveur Docker mal configuré soit infecté par cette campagne.
Récemment, cependant, la société a détecté une nouvelle charge utile de malware, qu'elle a baptisée Doki, qui diffère des cryptomineurs habituels généralement déployés dans ce type d'attaque. Ce qui distingue Doki des autres logiciels malveillants, c'est qu'il exploite l'API Dogecoin pour déterminer l'URL du serveur de commande et de contrôle (C&C) de son opérateur.
Le malware a réussi à rester dans l'ombre et à ne pas être détecté pendant plus de six mois, malgré le fait que des échantillons de Doki soient accessibles au public dans VirusTotal.
Sommaire
Logiciel malveillant Doki
Une fois que les pirates informatiques abusent de l'API Docker pour déployer de nouveaux serveurs dans l'infrastructure cloud d'une entreprise, les serveurs, qui exécutent une version de Alpine Linux, sont alors infectés par des logiciels malveillants de crypto-minage ainsi que Doki.
Selon les chercheurs d'Intezer, le but de Doki est de permettre aux pirates de contrôler principalement les serveurs qu'ils ont détournés pour s'assurer que leurs opérations de cryptomining se poursuivent. Cependant, le nouveau malware diffère des autres chevaux de Troie de porte dérobée en utilisant l'API Dogecoin pour déterminer l'URL du serveur C&C auquel il doit se connecter afin de recevoir de nouvelles instructions.
Doki utilise un algorithme dynamique, connu sous le nom d'algorithme de génération de DGA ou de domaine, pour déterminer l'adresse C&C à l'aide de l'API Dogecoin. Les opérateurs du botnet Ngrok peuvent également facilement changer le serveur d'où le malware reçoit ses commandes en effectuant une seule transaction à partir d'un portefeuille Dogecoin qu'ils contrôlent.
Si DynDNS reçoit un rapport d'abus à propos de l'URL actuelle de Doki C&C et que le site est supprimé, les cybercriminels n'ont qu'à effectuer une nouvelle transaction, déterminer la valeur du sous-domaine et créer un nouveau compte DynDNS et réclamer le sous-domaine. Cette tactique intelligente empêche les entreprises et même les forces de l'ordre de démanteler l'infrastructure backend de Doki car elles devraient d'abord prendre le contrôle du portefeuille Dogecoin du Ngrok.
Via ZDNet