بنا به گفته اینتزر، داکی قابلیت اجرای کد بر روی یک میزبان آلوده را ایجاد کرده و صحنه را برای هر تعداد حمله مبتنی بر بدافزار یا باج‌افزار فراهم می‌کند.

مهاجمان به طور خودکار سرورهای داکر را که تنظیمات اشتباه در درگاه‌های API دارند و دردسترس عموم هستند، اسکن کرده و سپس برای راه‌اندازی کانتینرهای خود و اجرای بدافزار در زیرساخت قربانی، از آنها سوء استفاده می‌کنند.

معمولاً بدافزار نوعی رمزگذار است -همان‌طور که در ماه آوریل در استخراج بیت‌کوین با استفاده از بدافزار Kinsing مشاهده شد- اما داکی گونه‌ا‌ی کامل‌تر است.

مهاجمان داکی از یک ربات مبتنی بر Ngrok برای گسترش درب پشتی استفاده می‌کنند، که از طریق یک اسکنر شبکه، آدرس‌های IP ارائه‌دهندگان ابر، مانند خدمات وب آمازون و ارائه‌دهندگان محلی ابر در اتریش، چین و انگلستان را هدف قرار می‌دهد.

Ngrok یک سرویس پراکسی معکوس قانونی است که مجرمان اینترنتی از آن برای ارتباط با نقاط انتهایی ربات آلوده استفاده می‌کنند.

اسکنر به دنبال اهداف آسیب‌پذیر است. اطلاعات مربوطه را جمع‌آوری می‌کند و آنها را در یک آدرس Ngrok که توسط مهاجمان کنترل می‌شود بارگذاری می‌کند. سپس مها‌‌جمان این اهداف جدید را مورد حمله قرار داده و به خطر می‌اندازند.

به گفته اینتزر: “شواهد نشان می‌دهد که از زمان فعال بودن سرور جدید داکر که با پیکربندی اشتباه تنظیم شده است، فقط چند ساعت طول می‌کشد تا داکر آلوده شود.

این ایمیج‌ها به خودی خود کار مخربی انجام نمی‌دهند، اما می‌توانند در جهت اهداف خراب‌کارانه مهاجمان به کار گرفته شوند. مهاجمان می‌توانند از طریق این ایمیج‌ها کانتینر بسازند و برای ارتباط با میزبان از آن استفاده کنند یا روی این کانتینرها ابزارهای خراب‌کارانه‌ای اجرا کنند.

پس از این مرحله، در گام بعدی با درخواست Create یک کانتینر جدید ایجاد می‌شود. متن اصلی درخواست شامل پیکربندی‌های کانتینر است. یکی از پارامترها bind است که به کاربر اجازه می‌دهد تا فایل یا پوشه‌ای را در دستگاه میزبان به کانتینر مرتبط کند.

در این حالت کانتینر به گونه‌ای تنظیم می‌شود تا پوشه /tmpXXXXXXX را به مسیر ریشه سرور میزبان متصل کند. این امر موجب می‌شود به فایل‌های سرور میزبان از جمله کانتینرها دسترسی داشته و پیکربندی سایر کانتینرها را دیده و تغییر دهند. یعنی هر فایل روی فایل سرور می‌تواند دردسترس بوده و تغییر داده شود.

به گفته اینتزر، “این حمله به دلیل استفاده مهاجم از کانتینر برای کنترل کامل زیرساخت‌های قربانی، بسیار خطرناک است.”

بعد از آن، مهاجم از Ngrok استفاده می‌کند تا URLهای منحصر به فرد را با عمر کوتاه بسازد و از آنها برای دانلود موارد لازم در هنگام حمله به ایمیج‌های مبتنی بر curl استفاده کند. بررسی‌ها نشان داده است که موارد دانلود شده در فهرست /tmpXXXXXX در کانتینر ذخیره می‌شود. یکی از این موارد، اسکریپت دانلودکننده است که وظیفه دانلود و نصب انواع بدافزار را در مرحله بعد بر عهده دارد.

داکی با سوء استفاده از بلاک‌چین، ارز رمزنگاری Dogecoin، دامنه اجرای دستورات خود را به صورت پویا و در لحظه پیدا کرده و با آن ارتباط برقرار می‌کند.

این بدافزار جدید از کیف پول Dogecoin استفاده می‌کند. Dogecoin ارز رمزنگاری شده است و از طریق بات‌نت گسترش پیدا می‌کند. بات‌نت تعدادی دستگاه متصل به اینترنت است که هرکدام از آنها یک یا چند ربات را اجرا کرده و از آن برای انجام حملات دی‌داس، سرقت اطلاعات، ارسال هرزنامه و یا دسترسی مهاجم به دستگاه و اتصال آن استفاده می‌شود.

به گفته محققان داکی هم‌اکنون “یک نوع بدافزار کشف نشده” است. برای درک این موضوع، آنها اشاره کردند که به تازگی، داکی توسط هیچ‌یک از 60 موتور شناسایی بدافزار در VirusTotal شناسایی نشده است. اینتزر هشدار داده است که بات‌نت Ngrok تهدیدی است که به مرور خود را بهبود می‌بخشد .

همچنین “کمپین بات‌نت Ngrok بیش از دو سال است که در حال فعالیت بوده و بسیار کارآمد است و سرورهای داکر API با تنظیمات نامناسب را آلوده می‌کند. ادغام بدافزار منحصر به فرد و کشف نشده داکی نشان می‌دهد که این عملیات همچنان در حال تکامل است.

برای جلوگیری از آلودگی، سرپرستان داکر باید هرگونه درگاه در معرض خطر را بررسی کنند؛ وجود کانتینر خارجی یا ناشناخته را در بین کانتینرهای موجود شناخته و استفاده بیش از حد از منابع را کنترل کنند.

بیشتر بخوانیم