Os especialistas em segurança descobriram duas novas botnets lançadas contra os servidores Docker e projetadas para serem executadas nos sistemas Linux, eles são chamados XORDDoS e Kaiji. Os ataques ao vivo foram detectados durante uma campanha mundial de larga escala classificada como extremamente perigosa.
Servidores Docker segmentados ativamente pelas botnets XORDDoS e Kaiji Linux
Os hackers continuam a lançar ataques devastadores contra servidores Docker, empresas de hospedagem e redes corporativas. Isso geralmente é feito usando mensagens de phishing de email que tentam manipular funcionários e usuários para baixar um vírus em uma rede de computadores e, a partir daí, causar uma infecção generalizada perigosa. O outro método popular baseia-se no uso de ferramentas de hackers automatizadas ou configuradas manualmente, projetadas para derrubar ou invadir um ataque de rede vulnerável.
o XORDDoS e Kaiji botnets são as ameaças mais recentes que foram detectadas pela comunidade de segurança. Eles são conhecidos por serem criados especificamente para servidores Docker, usados no setor de hospedagem na web, instalações industriais e redes em nuvem de produtividade corporativa. A botnet Kaiji é uma infecção mais antiga usada anteriormente em infecções por dispositivos IoT grandes..
Por outro lado, a botnet XORDDoS é uma nova infecção que não é conhecida até o momento. Os ataques usando essas duas redes de bots estão ocorrendo aproximadamente ao mesmo tempo, o que nos dá motivos para acreditar que eles podem ser operados pelos mesmos grupos de hackers ou vários coletivos criminosos ao mesmo tempo. Eles estão alvejando redes de computadores ao redor do mundo sem considerar um único local ou empresa.
Os ataques que utilizam essas redes de bots são realizados executando ataques de força bruta direcionados às redes de destino. A configuração atual procura falhas em três serviços - Secure Shell, Telnet e Docker. A porta que está sendo usada pelo Docker é 2375 foi encontrado para usar um canal de comunicações não criptografado e não autenticado.
Recursos no XORDDoS e Kaiji Botnet: O que eles fazem?
Há uma diferença notável entre o mecanismo de infecção. A botnet XORDDoS será lançada contra as redes com o objetivo principal de infectar o servidor Docker e tudo contido nos contêineres, enquanto a Kaiji implementará seu próprio contêiner contendo código de vírus. Ambos contam com DDoS mecanismo de ataque - um grande número de pacotes de rede será enviado às redes de destino que hospedam um servidor de recebimento. Quando o número de solicitações de rede é muito alto, ele falha e leva à exploração da vulnerabilidade.
Assim que a botnet XORDDoS for instalada em um determinado computador, um comando será acionado para baixar um arquivo remoto qual será o código de vírus real. O malware está oculto dentro deste arquivo usando uma cifra XOR, o mecanismo de descriptografia da carga útil o descompactará nas máquinas das vítimas. Isso iniciará um módulo Trojan que estabelecerá uma conexão com um servidor controlado por hackers, permitindo que os criminosos assumam o controle dos sistemas. Outra ação maliciosa que será executada como parte da infecção é a criação de um infecção persistente — a ameaça reconfigurará o sistema para que o vírus seja iniciado automaticamente e dificultado a remoção usando métodos manuais.
O principal objetivo da botnet é iniciar ataque distribuído de negação de serviço usando os tipos de pacotes comuns SYN, ACK e DNS. Como parte do mecanismo de malware, ele também pode fazer o download e atualizar-se. O malware botnet XORDDoS também é responsável pela disseminação obtendo informações dos seguintes dados:
- Relatório de informações do processador
- Soma de verificação dos processos em execução
- Informações sobre memória
- Velocidade de rede
- IDs dos processos em execução
Enquanto o Kaiji botnet segue aproximadamente a mesma sequência, também se diferencia por ter um suporte expandido a pacotes para o ataque de negação de serviço: ACK, Paródia IPS, SSH, SYN, SYNACK, Inundação TCP e inundação UDP.
Os ataques foram encontrados em URls e redes que serviram malware anterior. Por esse motivo, suspeita-se que os grupos de hackers tenham experiência ou que a infraestrutura seja emprestada a diferentes grupos de hackers.