Всем привет!
Если вы уже успели заскучать от типовых атак на торчащие наружу облачные Docker API с последующим майнингом криптовалюты, то как раз для вас подъехала отличная статья! :)
Исследователи компании Intezer обнаружили новое вредносное ПО (это backdoor), назвав его Doki. Конечно, все в итоге сводится к вышеуказанному, но атака в совокупности с Doki реализуется действительно изящно.
Тому есть 2 причины:
Во-первых, в скомпрометированной инфраструктуре запускаются легитимные образы (это alpine с установленным curl).
Выглядит это примерно так:
🍡К Docker API создаётся запрос с указанием параметра для привязки папки контейнера к рутовой директории сервера
🍡С использованием сервиса Ngrok загружаются вредоносные файлы через curl (сетевые сканеры и "плохие бинари", среди которых и был обнаружен Doki)
Во-вторых, Doki - это такой вредонос под Linux, который не смогли выявить даже 60 антивирусов VirusTotal. К тому же он использует незадокументированный метод связи со своим оператором, используя blockchain-технологию криптовалюты Dogecoin для динамической генерации его доменных имён C2 .
Но об этом вам лучше почитать в самой статье по ссылке.
P. S. И немного про Ngrok.
Если вы уже успели заскучать от типовых атак на торчащие наружу облачные Docker API с последующим майнингом криптовалюты, то как раз для вас подъехала отличная статья! :)
Исследователи компании Intezer обнаружили новое вредносное ПО (это backdoor), назвав его Doki. Конечно, все в итоге сводится к вышеуказанному, но атака в совокупности с Doki реализуется действительно изящно.
Тому есть 2 причины:
Во-первых, в скомпрометированной инфраструктуре запускаются легитимные образы (это alpine с установленным curl).
Выглядит это примерно так:
🍡К Docker API создаётся запрос с указанием параметра для привязки папки контейнера к рутовой директории сервера
🍡С использованием сервиса Ngrok загружаются вредоносные файлы через curl (сетевые сканеры и "плохие бинари", среди которых и был обнаружен Doki)
Во-вторых, Doki - это такой вредонос под Linux, который не смогли выявить даже 60 антивирусов VirusTotal. К тому же он использует незадокументированный метод связи со своим оператором, используя blockchain-технологию криптовалюты Dogecoin для динамической генерации его доменных имён C2 .
Но об этом вам лучше почитать в самой статье по ссылке.
P. S. И немного про Ngrok.