Malware 'Doki' menyerang server Docker menggunakan Dogecoin

Malware yang tetap tidak terdeteksi selama enam bulan mengeksploitasi port Docker API yang salah dikonfigurasi untuk meluncurkan muatan berbahaya, sambil menyalahgunakan blockchain cryptocurrency Dogecoin dalam prosesnya.

Malware, yang dikenal sebagai 'Doki', menargetkan lingkungan kemas yang salah konfigurasi yang dihosting di Azure, AWS, dan sejumlah platform cloud utama lainnya, menurut peneliti Intezer, dengan penyerang dapat menemukan port Docker API yang dapat diakses publik dan mengeksploitasinya untuk membangun wadah sendiri.

Doki kemudian dapat menginstal malware pada infrastruktur yang ditargetkan berdasarkan kode yang diterima dari operatornya, memunculkan dan menghapus container selama proses tersebut.

Doki berfungsi sebagai pintu belakang Linux yang tidak terdeteksi, dan mewakili evolusi dari kampanye Botnet Ngrok yang berusia dua tahun. Yang mengkhawatirkan, ia juga berhasil menghindari semua dari 60 platform malware yang terdaftar di VirusTotal sejak pertama kali dianalisis pada Januari 2020.

Strain khusus ini tidak biasa dalam artian menyalahgunakan blockchain cryptocurrency Dogecoin untuk menyerang lingkungan dalam container ini. Penyerang menggunakan metode yang cukup cerdik untuk mencegah infrastruktur botnet dihapus, yang melibatkan perubahan dinamis domain server perintah dan kontrol (C2) berdasarkan transaksi yang dicatat di dompet Dogecoin.

Alamat domain C2, tempat payload dikirim, berubah berdasarkan jumlah Dogecoin di dompet pada waktu tertentu. Saat mata uang kripto ditambahkan atau dihapus dari dompet, sistem mengkodekan transaksi dan membuat alamat unik baru untuk mengontrol malware Doki.

Karena sifat Blockchain yang aman dan terdesentralisasi, infrastruktur ini tidak dapat dihancurkan oleh penegak hukum, dan alamat baru tidak dapat didahului oleh orang lain karena hanya penyerang yang dapat melakukan transaksi di dompet Dogecoin mereka.

“Ancaman Linux menjadi lebih umum. Faktor yang berkontribusi terhadap hal ini adalah meningkatnya pergeseran dan ketergantungan pada lingkungan cloud, yang sebagian besar didasarkan pada infrastruktur Linux,” kata peneliti Nicole Fishbein dan Michael Kajiloti. “Oleh karena itu, penyerang telah beradaptasi dengan alat dan teknik baru yang dirancang khusus untuk infrastruktur ini.”

Secara historis, Ngrok Botnet telah menjadi salah satu ancaman paling umum yang menyalahgunakan port Docker API yang salah dikonfigurasi sedemikian rupa untuk mengeksekusi malware, tambah mereka. Sebagai bagian dari serangan tersebut, para peretas akan menyalahgunakan fitur konfigurasi Docker untuk menghindari pembatasan kontainer dan menjalankan berbagai muatan dari host.

Ancaman tersebut juga menyebarkan pemindai jaringan untuk mengidentifikasi rentang IP penyedia cloud untuk target tambahan yang berpotensi rentan. Apa yang membuatnya sangat berbahaya adalah hanya perlu beberapa jam sejak server Docker yang salah konfigurasi online untuk terinfeksi.

Sementara itu, karena blockchain cryptocurrency yang disalahgunakan oleh peretas tidak dapat diubah dan didesentralisasi, Fishbein dan Kajiloti menambahkan, metode ini tahan terhadap penghapusan infrastruktur serta upaya penyaringan domain.

Peretas dapat membuat wadah apa pun sebagai bagian dari serangan, dan mengeksekusi kode dari mesin host dengan memanfaatkan metode pelarian wadah. Ini didasarkan pada pembuatan wadah baru, yang dicapai dengan memposting permintaan API 'buat'.

Setiap container didasarkan pada gambar alpine dengan curl terpasang, yang tidak berbahaya dalam dirinya sendiri, melainkan disalahgunakan untuk mengeksekusi serangan dengan perintah curl, diaktifkan segera setelah container aktif dan berjalan.

Peretas kemudian menyalahgunakan layanan Ngrok, yang menyediakan terowongan aman yang menghubungkan antara server lokal dan internet publik, untuk membuat URL unik dengan masa pakai yang singkat, menggunakannya untuk mengunduh muatan selama serangan dengan meneruskannya ke gambar berbasis curl.

“Kampanye Botnet Ngrok telah berlangsung selama lebih dari dua tahun dan cukup efektif, menginfeksi server Docker API yang salah konfigurasi dalam hitungan jam,” tambah Nicole Fishbein dan Michael Kajiloti. “Penggabungan malware Doki yang unik dan tidak terdeteksi menunjukkan operasi terus berkembang.

“Serangan ini sangat berbahaya karena penyerang menggunakan teknik melarikan diri kontainer untuk mendapatkan kendali penuh atas infrastruktur korban. Bukti kami menunjukkan bahwa hanya perlu beberapa jam sejak server Docker baru yang salah konfigurasi aktif online untuk terinfeksi oleh kampanye ini.”

Para peneliti telah merekomendasikan bahwa perusahaan dan individu yang memiliki server kontainer berbasis cloud harus segera memperbaiki pengaturan konfigurasi mereka untuk mencegah paparan ancaman. Proses ini termasuk memeriksa port yang terbuka, memverifikasi tidak ada kontainer asing atau tidak dikenal di antara kontainer yang ada, dan memantau penggunaan sumber daya komputasi yang berlebihan.