Les experts en sécurité ont découvert deux nouveaux botnets qui sont lancés contre les serveurs Docker et sont conçus pour fonctionner sur les systèmes Linux, ils s'appellent XORDDoS et Kaiji. Les attaques en direct ont été détectées lors d'une campagne mondiale à grande échelle qui est considérée comme extrêmement dangereuse.
Les serveurs Docker activement ciblés par les botnets XORDDoS et Kaiji Linux
Les pirates continuent de lancer des attaques dévastatrices contre les serveurs Docker, sociétés d'hébergement et réseaux d'entreprise. Cela se fait généralement en utilisant des messages de phishing par e-mail qui tentent de manipuler les employés et les utilisateurs pour télécharger un virus sur un réseau informatique et, à partir de là, provoquer une infection répandue dangereuse. L'autre méthode populaire repose sur l'utilisation d'outils de piratage automatisés ou configurés manuellement qui sont conçus pour éliminer ou pirater une attaque de réseau vulnérable.
La XORDDoS et Kaiji les botnets sont les dernières menaces détectées par la communauté de la sécurité. Ils sont connus pour être créés spécifiquement pour les serveurs Docker qui sont utilisés dans l'industrie de l'hébergement Web, installations industrielles et réseaux cloud de productivité d'entreprise. Le botnet Kaiji est une infection plus ancienne qui a été utilisée précédemment dans de grandes infections d'appareils IoT.
D'un autre côté, le botnet XORDDoS est une nouvelle infection inconnue à ce jour.. Les attaques à l'aide de ces deux botnets ont lieu à peu près au même moment, ce qui nous donne des raisons de croire qu'ils peuvent être exploités par les mêmes groupes de piratage ou plusieurs collectifs criminels à la fois. Ils ciblent réseaux informatiques dans le monde sans égard à un seul emplacement ou entreprise.
Les attaques utilisant ces botnets se font en effectuant attaque par force brute qui sont dirigés contre les réseaux cibles. La configuration actuelle recherche les faiblesses de trois services - Secure Shell, Telnet et Docker. Le port utilisé par Docker est 2375 s'est avéré utiliser un canal de communication non crypté et non authentifié.
Capacités dans XORDDoS et Kaiji Botnet: Que font-ils?
Il existe une différence notable entre le mécanisme d'infection. Le botnet XORDDoS sera lancé contre les réseaux dans le but principal d'infecter le serveur Docker et tous contenus dans des conteneurs tandis que Kaiji déploiera son propre conteneur contenant le code du virus. Les deux comptent sur DDoS mécanisme d'attaque: un grand nombre de paquets réseau seront envoyés aux réseaux cibles hébergeant un serveur de réception. Lorsque le nombre de requêtes réseau est trop important, cela plante et conduit à l'exploitation de la vulnérabilité.
Dès que le botnet XORDDoS est installé sur un ordinateur donné, une commande sera déclenchée pour télécharger un fichier distant qui sera le véritable code du virus. Le malware est caché dans ce fichier à l'aide d'un chiffrement XOR, le mécanisme de décryptage de la charge utile le déballera sur les machines victimes. Cela lancera un Module cheval de Troie qui établira une connexion à un serveur contrôlé par des pirates permettant aux criminels de prendre le contrôle des systèmes. Une autre action malveillante qui sera exécutée dans le cadre de l'infection est la création d'un infection persistante — la menace reconfigurera le système afin que le virus soit automatiquement démarré et qu'il soit très difficile de le supprimer à l'aide de méthodes manuelles.
Le principal objectif du botnet est de lancer attaque par déni de service distribué en utilisant les types de paquets communs SYN, ACK et DNS. Dans le cadre du moteur de malware, il peut également se télécharger et se mettre à jour. Le malware de botnet XORDDoS est également responsable de la collecte d'informations des données suivantes:
- Rapport d'informations sur le processeur
- Somme de contrôle des processus en cours
- Informations sur la mémoire
- Vitesse réseau
- ID des processus en cours d'exécution
Tandis que le Kaiji botnet suit à peu près la même séquence, il se différencie également en ayant un prise en charge d'un ensemble étendu de paquets pour l'attaque par déni de service: ACK, Usurpation IPS, SSH, SYN, SYNACK, Inondation TCP et inondation UDP.
Les attaques se sont avérées provenir d'URls et de réseaux qui ont servi des logiciels malveillants précédents. Pour cette raison, on soupçonne que les groupes de piratage sont expérimentés ou que l'infrastructure est prêtée à différents groupes de piratage.