Python Malware Poses DDoS Threat Via Docker API Misconfiguration
2023/11/13 InfoSecurity — Docker Engine API の一般公開されたインスタンスを標的とする、新たなサイバー脅威が、セキュリティ研究者たちにより発見された。この OracleIV キャンペーンで、ミス・コンフィグレーションを悪用する攻撃者は、”oracleiv_latest “という名前のイメージからビルドされ、ELF (Executable and Linking Format) ファイルとしてコンパイルされる、 Python マルウェアを取り込んだ悪意の Docker コンテナをデプロイしている。この悪意のツールは、分散型サービス拒否 (DDoS) ボット・エージェントとして機能し、DoS 攻撃を行うための各種の攻撃手法を提示している。
Cado Security Labs が 2023年11月13日の未明に発表したアドバイザリーによると、以前から標的とされていた Docker Engine API は、このような攻撃を開始するためのエントリ・ポイントとして人気を博し、クリプトジャッキング・マルウェアの配信に巻き込まれているという。Docker Engine API の不用意な公開は頻繁に発生するため、関連性のない悪意のキャンペーンにより、潜在的な脆弱性がスキャンされるようになる。
セキュリティ専門家たちが発見した新たなキャンペーンでは、攻撃者による Docker の API への HTTP POST リクエストが行われ、そこで仕込まれた悪意の Docker コンテナが、その後に Dockerhub から取得されていくという。この攻撃者は、Docker Hub のユーザーを使って、Docker 用の MySQL イメージを装う、悪意のコンテナをホストしている。
このマルウェアを静的に解析したところ、64 Bit で静的にリンクされた ELF (Executable and Linking Format)ファイルにはデバッグ情報が残っており、Cython でコンパイルされた Python コードであることが判明した。そのコードは比較的短く、SSL ベース/UDP ベース/Slowloris スタイルの攻撃などの、さまざまな DoS 手法にフォーカスするものだった。
そのボットは C2 (Command-and-Control) サーバに接続し、ハードコードされたパスワードで認証する。そして、ボットネットの活動を監視した Cado Security Labs は、UDP/SSL ベースのフラッドを用いる DDoS 攻撃を目撃した。この C2 コマンドは、ボットネットに特定の IP アドレスやドメインを標的とするよう指示し、攻撃時間/レート/ポートを決定する。
実際のマイニング活動は観測されていないが、この悪意のコンテナには、そのような行為を容易にするためのファイルが含まれていると、研究者たちは注意を促している。
この OracleIV は、サプライチェーン攻撃に分類されるものではないが、Docker Hub のユーザーは警戒を怠らずに、プルされたイメージの定期的な評価を実施し、ネットワーク防御を実装すべきである。
Cado Security Labs は、OracleIV を操る脅威アクターについて Docker に報告して、Docker のライブラリに悪意のコンテナ・イメージが存在し続けていることを強調している。ユーザーに対して推奨されるのは、インターネット向けサービスに関連するミスコンフィグレーションのリスクを軽減するために、積極的に行動することである。
さまざまな局面で活用されるコンテナですが、そこにマルウェアが仕込まれると、かなり厄介なことになります。最近では、2023/09/13 の「Kubernetes 警告:3件の脆弱性により Windows エンドポイントへのリモート攻撃が可能」や、2023/08/30 の「Windows Container Isolation Framework を悪用したエンドポイント・セキュリティの回避」と言った記事がポストされています。よろしければ、カテゴリ Container も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.