Docker Hub bị hacker lợi dụng để phát tán mã độc Cryptojacking

Docker ngày càng trở nên phổ biến với các lập trình viên với tư cách dịch vụ đóng gói và triển khai các ứng dụng phần mềm. Chính vì thế, các hacker mũ đen tập trung tấn công vào các API endpoints bị lộ của Docker để tạo ra những Docker Images nhiễm mã độc. Từ đó, hacker có thể triển khai các cuộc tấn công DDoS và chạy ứng dụng khai thác tiền ảo trái phép trên hệ thống của nạn nhân.

Theo báo cáo của đơn vị nghiên cứu các mối đe dọa an ninh mạng Unit 42 thuộc Palo Alto Networks, hacker kiếm lời bằng cách triển khai phần mềm khai thác tiền ảo bằng cách dùng các Docker Container. Hơn nữa, chúng lợi dụng chính kho lưu trữ Docker Hub để phát tán các Docker Images nhiễm mã độc.

Docker Hub bị hacker lợi dụng để phát tán mã độc
Docker Hub bị hacker lợi dụng để phát tán mã độc

Unit 42 báo cáo: "Docker Container là một phương thức thuận tiện, giúp lập trình viên đóng gói phần mềm dễ dàng hơn nên ngày càng có nhiều lập trình viên sử dụng nó. Vì thế, hacker dễ dàng phát tán các phần mềm khai thác tiền ảo tới các máy có chạy phần mềm Docker. Sau đó, ngay lập tức hệ thống của nạn nhân sẽ được dùng để khai thác tiền ảo trái phép".

Docker là một nền tảng giải pháp (PaaS) nổi tiếng dành cho Linux và Windows, cho phép các nhà phát triển triển khai, thử nghiệm và đóng gói các ứng dụng của họ trong môi trường ảo hóa. Điều này giúp các ứng dụng hoạt động tách biệt so với hệ thống máy chủ chứa nó.

Trong tài khoản "azurenql", hiện đã bị gỡ khỏi Docker Hub, các nhà nghiên cứu phát hiện ra 8 Docker Images chứa mã độc có khả năng khai thác tiền ảo Moreno. Tác giả của mã độc này sử dụng một tập lệnh Python để kích hoạt mã độc khai thác tiền ảo và dùng các công cụ truy cập internet ẩn danh như ProxyChains và Tor để tránh bị phát hiện.

Quy trình tấn công và khai thác tiền ảo trái phép trên hệ thống của nạn nhân
Quy trình tấn công và khai thác tiền ảo trái phép trên hệ thống của nạn nhân

Từ khi được triển khai vào tháng 10/2019, các Docker Images của tài khoản "azurenql" đã tiến hành khai thác tiền ảo hơn 2 triệu lần. Trong một trong những ví điện tử liên kết với chiến dịch này, các nhà nghiên cứu tìm ra số tiền ảo trị giá 36.000 USD (838 triệu đồng).

Tấn công DDoS

Không chỉ dừng lại ở đó, trong một đợt truy quét gần đây, các nhà nghiên cứu của Trend Micro phát hiện ra các máy chủ không được bảo vệ của Docker đang bị tấn công bởi ít nhất hai mã độc là XOR DDoS và Kaiji. Những mã độc này sẽ thu thập thông tin hệ thống của nạn nhân và thực hiện các cuộc tấn công DDoS.

Các nhà nghiên cứu tuyên bố: "Hacker thường sử dụng các botnet để thực hiện những cuộc tấn công brute-force sau khi quét các công Secure Shell (SSH) và Telnet bị bỏ ngỏ. Hiện tại, hacker vẫn đang tìm kiếm các máy chủ Docker với cổng 2375 không được bảo vệ".

Mặc dù có phương thức tấn công DDoS khác nhau nhưng cả XOR DDoS và Kanji đều thu thập các dữ liệu như tên miền, tốc độ mạng, số nhận dạng của các tiến trình đang chạy và thông tin về CPU của hệ thống. Đây đều là các thông tin cần thiết phục vụ cho các chiến dịch DDoS.

Các chuyên gia khuyến cáo người dùng và các doanh nghiệp sử dụng Docker nên kiểm tra ngay lập tức xem các API endpoints của họ có bị lộ trên internet hay không. Ngoài ra, bạn cần đóng tất cả các cổng kết nối trên máy chủ Docker cũng như thực thi những biện pháp bảo mật cấp cao nhất cho toàn bộ hệ thống.

Thứ Tư, 01/07/2020 08:29
51 👨 312
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng