Docker Hub bị lợi dụng để phát tán mã độc Cryptojacking có trong Docker Image

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Docker Image chứa mã độc Cryptojacking

Docker được biết đến như một dịch vụ hiệu quả giúp đóng gói và triển khai các ứng dụng phần mềm và sự phổ biến gần đây của nó đã thu hút sự chú ý của những kẻ tấn công với ý đồ xấu. Theo báo cáo mới đây nhất, những kẻ tấn công này đã lợi dụng các API endpoint bị lộ của Docker để tạo ra các Docker Image có chứa mã độc và tạo điều kiện thuận lợi thực thi các cuộc tấn công từ chối dịch vụ phân tán (DDoS), đồng thời cho chạy trái phép phần mềm đào tiền ảo.

Theo báo cáo được công bố bởi Unit 42 – nhóm tình báo mối đe dọa của Palo Alto Networks, mục đích của những Docker Image này là để thu lợi nhuận bằng cách triển khai một phần mềm đào tiền ảo sử dụng các Docker Container và lợi dụng kho lưu trữ Docker Hub để phát tán các image độc hại này.

“Docker Container cung cấp một phương thức thuận tiện giúp việc đóng gói phần mềm dễ dàng hơn, đó là lý do tại sao tỷ lệ chấp nhận của nó ngày càng gia tăng một cách chóng mặt. Điều này, cùng với sự phổ biến của việc đào tiền điện tử, khiến kẻ tấn công dễ dàng phát tán các image độc hại đến các máy có chạy phần mềm Docker. Sau đó, chúng sẽ ngay lập tức chiếm dụng tài nguyên của các máy này để thực hiện các cuộc tấn công cryptojacking,” các nhà nghiên cứu của Unit 42 cho biết.

Docker là một nền tảng dịch vụ PaaS phổ biến dành cho Linux và Windows, cho phép developer triển khai, kiểm tra và đóng gói các ứng dụng của họ trong một môi trường ảo bằng cách cô lập dịch vụ khỏi hệ thống máy chủ mà họ đang chạy trên.

Một tài khoản Docker Hub có tên là “azurenql” hiện đã bị xóa do bị phát hiện trong tám kho lưu trữ của nó có chứa 6 image độc hại, nhằm mục đích đào tiền ảo Monero – đồng tiền privacy coin (coin ẩn danh) đầu tiên trong thế giới tiền điện tử.

Kẻ tấn công đằng sau các image độc hại này đã sử dụng ngôn ngữ lập trình Python để thực hiện tấn công cryptojacking và lợi dụng các công cụ ẩn danh như ProxyChains và Tor để tránh bị phát hiện.

Mã độc trong image sau đó sẽ  khai thác tối đa sức mạnh xử lý của các máy bị nhiễm để chạy trái phép phần mềm đào tiền điện tử độc hại.

Được biết các image được lưu trữ trên tài khoản này đã đào tiền ảo hơn hai triệu lần kể từ lần đầu tiên vào tháng 10 năm 2019, với một trong những ID của ví đã kiếm được hơn 525,38 XMR (tương đương 36.000 đô la).

Mã độc DDoS tấn công máy chủ Docker

Nhưng đó vẫn chưa phải là tất cả. Mới đây, các nhà nghiên cứu của Trend Micro đã phát hiện các máy chủ Docker không được bảo vệ đang bị nhắm mục tiêu với ít nhất hai loại mã độc khác nhau – XOR DDoS và Kaiji – nhằm thu thập thông tin hệ thống và thực hiện các cuộc tấn công DDoS.

“Những kẻ tấn công thường sử dụng các botnet để thực hiện tấn công brute-force bằng cách quét các port mở trong giao thức Secure Shell (SSH) và Telnet. Bây giờ, những kẻ tấn công này cũng đang tìm kiếm các máy chủ Docker với các cổng bị lộ (2375),” các chuyên gia này cho biết.

Điều đáng chú ý là cả XOR DDoS và Kaiji đều là các mã độc trojan Linux, được biết đến với khả năng thực hiện các cuộc tấn công DDoS. Và đặc biệt là Kaiji – mã độc có nguồn gốc từ Trung Quốc – được viết hoàn toàn từ đầu bằng ngôn ngữ lập trình Go để nhắm tới các thiết bị IoT thông qua phương thức tấn công SSH brute-forcing.

Mã độc XOR DDoS hoạt động bằng cách tìm kiếm các máy chủ Docker bị lộ cổng API, sau đó nó sẽ gửi một lệnh để liệt kê tất cả các container được lưu trữ trên máy bị nhắm mục tiêu và cuối cùng lây nhiễm chúng với mã độc XOR DDoS.

Theo cách thức tương tự, mã độc Kaiji quét internet để tìm kiếm các máy chủ có cổng 2375 bị lộ để triển khai một ARM container giả mạo (“linux_arm”) và thực thi mã nhị phân Kaiji.

“Tuy nhiên sự khác biệt giữa hai mã độc này là trong khi XoR DDoS xâm nhập vào máy chủ Docker để lây nhiễm tất cả các container được lưu trữ trên đó, thì Kaiji lại triển khai và tạo ra container riêng để chứa mã độc DDoS của chính nó,” các nhà nghiên cứu cho biết.

Ngoài ra, cả hai mã độc này đều thu thập các thông tin như tên miền, tốc độ mạng, định danh của tiến trình (process identifier), thông tin mạng và CPU cần thiết để thực hiện một cuộc tấn công DDoS.

“Kẻ tấn công đằng sau các mã độc này liên tục nâng cấp, cải tiến kỹ thuật tấn công của chúng để có thể tìm ra các điểm tấn công đầu vào khác bên cạnh các cổng bị lộ”, các nhà nghiên cứu kết luận.

“Vì máy chủ Docker tương đối thuận tiện và dễ dàng triển khai nên nó đang trở thành một lựa chọn hàng đầu của các công ty. Tuy nhiên, điều này cũng khiến chúng trở thành mục tiêu hấp dẫn tội phạm mạng – những kẻ luôn tìm kiếm các hệ thống mà chúng có thể khai thác.”

Các chuyên gia bảo mật này khuyên người dùng và các tổ chức đang sử dụng Docker nên ngay lập tức kiểm tra và đóng các cổng API endpoint bị lộ trên Internet và tuân thủ thực hiện các biện pháp được đề xuất .

Theo The Hacker News