Gli esperti di sicurezza hanno scoperto due nuove botnet lanciate contro i server Docker e progettate per funzionare su sistemi Linux, si chiamano XORDDoS e Kaiji. Gli attacchi dal vivo sono stati rilevati durante una campagna mondiale su larga scala che è stata giudicata estremamente pericolosa.
Server Docker targetizzati attivamente dalle botnet XORDDoS e Kaiji Linux
Gli hacker continuano a lanciare attacchi devastanti contro i server Docker, società di hosting e reti aziendali. Questo di solito viene fatto utilizzando messaggi di phishing via e-mail che tentano di manipolare dipendenti e utenti affinché scarichino un virus in una rete di computer e da lì causino una pericolosa infezione diffusa. L'altro metodo popolare si basa sull'uso di strumenti di hacking automatizzati o configurati manualmente progettati per eliminare o hackerare un attacco di rete vulnerabile.
Il XORDDoS e Kaiji le botnet sono le ultime minacce rilevate dalla comunità della sicurezza. Sono noti per essere stati creati appositamente per i server Docker utilizzati nel settore dell'hosting web, strutture industriali e reti cloud di produttività aziendale. La botnet Kaiji è un'infezione più vecchia utilizzata in precedenza in infezioni di dispositivi IoT di grandi dimensioni.
D'altra parte la botnet XORDDoS è una nuova infezione che non è stata conosciuta fino ad ora. Gli attacchi che usano queste due botnet si svolgono approssimativamente nello stesso momento, il che ci dà motivi per credere che possano essere gestiti dagli stessi gruppi di hacker o da più collettivi criminali contemporaneamente. Stanno prendendo di mira reti di computer in tutto il mondo indipendentemente da una singola sede o azienda.
Gli attacchi che utilizzano queste botnet vengono eseguiti eseguendo attacchi di forza bruta che sono diretti contro le reti di destinazione. L'attuale configurazione scansiona i punti deboli di tre servizi: Secure Shell, Telnet e Docker. La porta utilizzata da Docker è 2375 è stato trovato per utilizzare un canale di comunicazione non crittografato e non autenticato.
Funzionalità in XORDDoS e Kaiji Botnet: Cosa fanno?
C'è una notevole differenza tra il meccanismo di infezione. La botnet XORDDoS verrà lanciata contro le reti con l'obiettivo principale di infettare il server Docker e tutto contenuto all'interno di contenitori mentre Kaiji distribuirà il proprio contenitore contenente codice virus. Entrambi fanno affidamento DDoS meccanismo di attacco: un gran numero di pacchetti di rete verrà inviato alle reti di destinazione che ospitano un server ricevente. Quando il numero di richieste di rete è eccessivo, si arresta in modo anomalo e porta allo sfruttamento della vulnerabilità.
Non appena la botnet XORDDoS viene installata su un determinato computer, verrà attivato un comando scarica un file remoto quale sarà il vero codice del virus. Il malware è nascosto all'interno di questo file usando un codice XOR, il meccanismo di decodifica del payload lo spacchetterà sulle macchine vittime. Questo lancerà a modulo Trojan che stabilirà una connessione a un server controllato dagli hacker consentendo ai criminali di assumere il controllo dei sistemi. Un'altra azione dannosa che verrà eseguita come parte dell'infezione è la creazione di un infezione persistente — la minaccia riconfigurerà il sistema in modo che il virus venga avviato automaticamente e sarà reso molto difficile da rimuovere utilizzando metodi manuali.
L'obiettivo principale della botnet è l'avvio attacco denial of service distribuito usando i tipi di pacchetti comuni SYN, ACK e DNS. Come parte del motore malware può anche scaricare e aggiornare se stesso. Il malware botnet XORDDoS è anche responsabile della diffusione raccolta di informazioni dei seguenti dati:
- Rapporto di informazioni sul processore
- Checksum dei processi in esecuzione
- Informazioni sulla memoria
- Velocità di rete
- ID dei processi in esecuzione
Mentre il Botnet Kaiji segue approssimativamente la stessa sequenza e si differenzia anche per avere un set ampliato di supporto pacchetti per l'attacco denial-of-service: ACK, Parodia IPS, SSH, SYN, SYNACK, Inondazione TCP e inondazione UDP.
È stato scoperto che gli attacchi provengono da URls e reti che hanno servito malware precedenti. Per questo motivo si sospetta che i gruppi di hacking siano esperti o che l'infrastruttura sia prestata a diversi gruppi di hacking.