Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Ботнет OracleIV использует общедоступные API Docker Engine для захвата контейнеров

16/11/23

download (28)-1

В последнее время всё чаще стали фиксироваться атаки на общедоступные экземпляры API Docker Engine, которые злоумышленники используют для превращения машин в ботнеты для DDoS-атак. Основная цель таких атак – расширение ботнета под названием OracleIV, передаёт Securitylab.

Компания Cado Security сообщает, что киберпреступники эксплуатируют уязвимости в настройках, чтобы доставить вредоносный контейнер Docker, созданный из образа под названием «oracleiv_latest». Контейнер содержит вредоносное ПО на Python, скомпилированное в виде исполняемого файла ELF.

Атака начинается с того, что злоумышленники отправляют HTTP POST-запрос к API Docker для извлечения вредоносного образа с Docker Hub, который образ, в свою очередь, запускает команду для получения скрипта (oracle.sh) с сервера управления и контроля (Command and Control, C2).

Образ «oracleiv_latest», представленный как образ MySQL для Docker, был загружен более 3 500 раз. Кроме того, он содержит дополнительные инструкции для загрузки майнера XMRig и его конфигурации с того же сервера. Однако, по данным Cado, доказательств майнинга криптовалюты не обнаружено. Вместо майнинга скрипт содержит функции для проведения DDoS-атак типа slowloris, SYN-флуды и UDP-флуды.

Темы:УгрозыDDoS-атакиботнетDockerCado Security
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • Зондирующие DDoS-атаки как новая стратегия
    В один из майских дней 2025 г. трафик на фронтенде обычного онлайн-сервиса неожиданно подскочил. Не катастрофически – лишь на считаные проценты. Появились всплески HTTP-запросов, чуть увеличилась задержка, возникли пара тревожных алертов о росте RPS. Потом все утихло. Обычная перегрузка? Фоновая активность? Или просто каприз трафика? Через неделю сервис лег, но уже не на минуту и не на десять: часы простоя, срыв SLA, гнев пользователей, экстренный брифинг с руководством. SOC с опозданием сопоставил события: перед атакой была "репетиция", но сигнал был слишком слабым, чтобы его услышали.
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...