Операторы ботнета AESDDoS ищут неправильно настроенные API Docker и внедряют в образы троян для сбора информации и организации DDoS-атак. Об этом сообщили ИБ-специалисты, изучившие новый вариант вредоносной программы. Злоумышленники сканируют Интернет в поисках открытых портов 2375 и проверяют найденные на сервере контейнеры на возможность удаленного доступа через API.

Как утверждают исследователи, киберпреступники используют легитимную утилиту Docker Community Edition, чтобы проникнуть в контейнер и выполнить в его среде свой скрипт. Доступ к API позволяет злоумышленникам отправлять на хост команды, которые будут выполнены демоном Docker, работащим с root-привилегиями. Таким образом, удаленный доступ к программному интерфейсу контейнера дает атакующим возможность перехватить управление сервером и использовать его ресурсы.

Злоумышленники проводят поиск целей при помощи opensource-утилиты WinEggDrop. Программа отправляет SYN-пакеты по IP-адресам заданного диапазона; выявление уязвимых контейнеров производится с помощью приложения Docker Batch Test Tool. Для внедрения полезной нагрузки во все доступные Docker-образы применяется команда exec, которая доставляет на устройство бэкдор AESDDoS.

Инфицированный компьютер в дальнейшем может использоваться киберпреступниками для flood-атак следующих типов:

  • SYN;
  • LSYN;
  • UDP;
  • UDPS;
  • TCP.

Дополнительно вредоносная программа передает на командный сервер данные о скомпрометированной системе. Злоумышленники получают сведения о типе процессора, объеме оперативной памяти и версии Linux. По мнению исследователей, эта информация может быть использована нападающими для определения дальнейших действий с зараженной машиной.

Ботнет AESDDoS известен ИБ-специалистам с 2014 года. В апреле 2019-го исследователи уже фиксировали атаки вредоносной сети на компьютеры с установленным ПО Confluence Server. Авторы зловреда использовали уязвимость CVE-2019-3396, чтобы не только загрузить клиентскую программу для DDoS-кампаний, но и внедрить в целевую систему майнер криптовалюты.

Категории: Аналитика, Вредоносные программы, Уязвимости