Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Ботнет OracleIV использует общедоступные API Docker Engine для захвата контейнеров

16/11/23

download (28)-1

В последнее время всё чаще стали фиксироваться атаки на общедоступные экземпляры API Docker Engine, которые злоумышленники используют для превращения машин в ботнеты для DDoS-атак. Основная цель таких атак – расширение ботнета под названием OracleIV, передаёт Securitylab.

Компания Cado Security сообщает, что киберпреступники эксплуатируют уязвимости в настройках, чтобы доставить вредоносный контейнер Docker, созданный из образа под названием «oracleiv_latest». Контейнер содержит вредоносное ПО на Python, скомпилированное в виде исполняемого файла ELF.

Атака начинается с того, что злоумышленники отправляют HTTP POST-запрос к API Docker для извлечения вредоносного образа с Docker Hub, который образ, в свою очередь, запускает команду для получения скрипта (oracle.sh) с сервера управления и контроля (Command and Control, C2).

Образ «oracleiv_latest», представленный как образ MySQL для Docker, был загружен более 3 500 раз. Кроме того, он содержит дополнительные инструкции для загрузки майнера XMRig и его конфигурации с того же сервера. Однако, по данным Cado, доказательств майнинга криптовалюты не обнаружено. Вместо майнинга скрипт содержит функции для проведения DDoS-атак типа slowloris, SYN-флуды и UDP-флуды.

Темы:УгрозыDDoS-атакиботнетDockerCado Security
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...